漏洞概述 | |||
漏洞名称 | OpenWrt Attended SysUpgrade 命令注入漏洞 | ||
漏洞编号 | QVD-2024-49743,CVE-2024-54143 | ||
公开时间 | 2024-12-06 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 |
威胁类型 | 命令执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用命令注入漏洞将任意命令注入构建过程,生成恶意固件镜像。同时可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而影响已交付版本的完整性。 | |||
01 漏洞详情
影响组件
OpenWrt 是一款基于Linux的开源固件项目,专为嵌入式设备如路由器设计,提供高度的自定义性和扩展性。它允许用户构建定制化的固件镜像,并在升级过程中保留已有的安装包和设置,增强了设备的灵活性和功能性。OpenWrt/ASU(Attended SysUpgrade)是 OpenWrt 项目的一个关键组件,它提供了一个用户友好的系统升级服务。ASU 允许用户轻松升级他们的 OpenWrt 固件,同时保留已安装的软件包和设置。
漏洞描述
近日,奇安信CERT监测到官方修复OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143),OpenWrt 的 Attended SysUpgrade(ASU)服务中存在命令注入漏洞和弱哈希漏洞。该命令注入漏洞源于 Imagebuilder 在构建过程中未能正确处理用户提供的软件包名称,导致攻击者可以将任意命令注入构建过程,生成恶意固件镜像。同时,由于 SHA-256 哈希被截断至12个字符,降低了哈希的复杂性,增加了哈希碰撞的可能性,使得攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而影响已交付版本的完整性。目前该漏洞技术细节与PoC已在互联网上公开,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
OpenWrt/ASU < 920c8a1
其他受影响组件
无
03 受影响资产情况
奇安信鹰图资产测绘平台数据显示,OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)关联的国内风险资产总数为184058个,关联IP总数为63299个。全球风险资产分布情况如下:
OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)关联的全球风险资产总数为231547个,关联IP总数为95488个。全球风险资产分布情况如下:
04 处置建议
安全更新
目前官方已通过 920c8a1 提交进行修复,建议受影响用户尽快应用补丁以缓解该漏洞。
官方补丁下载地址:
https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
修复缓解措施:
1.暂时停止使用ASU服务进行固件升级,直到确认服务已更新并修复了相关漏洞。
2.手动验证固件镜像的完整性和来源,确保其未被篡改。
05 参考资料
[1]https://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/
[2]https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q
[3]https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
