Ein Sicherheitsforscher der Flatt Security hat kritische Schwachstellen im Attended SysUpgrade (ASU) System des beliebten Router-Betriebssystems OpenWRT aufgedeckt. Die als CVE-2024-54143 klassifizierten Sicherheitslücken erreichen einen kritischen CVSS-Score von 9,3 und hätten Angreifern ermöglicht, kompromittierte Firmware-Updates an Benutzer zu verteilen.
Technische Details der Sicherheitslücken
Die identifizierten Schwachstellen betreffen den Dienst sysupgrade.openwrt.org, der für die Erstellung individualisierter Firmware-Images unter Beibehaltung von Benutzereinstellungen verantwortlich ist. Besonders gravierend ist die Möglichkeit zur Command Injection durch manipulierte Paketnamen im Make-Prozess, die innerhalb der Container-Umgebung ausgeführt werden können.
Gefährliche Hash-Kollisionen möglich
Eine zweite kritische Schwachstelle basiert auf der Verwendung verkürzter SHA-256-Hashes mit nur 12 Zeichen für das Build-Caching. Die dadurch reduzierte Entropie von 48 Bit macht das System anfällig für Hash-Kollisionen. Der Sicherheitsforscher demonstrierte erfolgreich, wie mittels einer NVIDIA RTX 4090 GPU gezielt Kollisionen erzeugt werden können, um legitime Builds durch schadhaften Code zu ersetzen.
Sofortige Reaktion und Sicherheitsmaßnahmen
Das OpenWRT-Entwicklerteam reagierte umgehend auf die Entdeckung und implementierte notwendige Sicherheitsmaßnahmen. Der betroffene Dienst wurde temporär deaktiviert und innerhalb von drei Stunden mit entsprechenden Patches wieder in Betrieb genommen. Aufgrund der automatischen Bereinigung der ASU-Server alle sieben Tage ist eine vollständige forensische Analyse potenzieller Angriffe nicht möglich.
Wer ist betroffen?
Von diesen Schwachstellen sind in erster Linie folgende Nutzergruppen betroffen:
- Privatanwender und Unternehmen, die OpenWRT-Router betreiben und den ASU-Dienst (Attended SysUpgrade) für angepasste Firmware-Images verwenden
- Betreiber eigener ASU-Instanzen, die möglicherweise noch nicht gepatchte Versionen des Dienstes ausführen
- ISPs und Managed Service Provider, die OpenWRT-basierte Geräte in ihrer Infrastruktur einsetzen
- Heimnetzwerke und kleine Unternehmen mit OpenWRT-Routern, die auf automatische Firmware-Updates über den ASU-Dienst angewiesen sind
Was Administratoren und Nutzer jetzt tun müssen
- Firmware sofort auf die neueste gepatchte Version aktualisieren — die aktuellen Versionen sind im offiziellen OpenWRT-Release-Bereich verfügbar
- Betreiber selbst gehosteter ASU-Instanzen müssen ihre Instanz umgehend auf den gepatchten Stand bringen und alle aktiven Build-Caches invalidieren
- Firmware-Integrität nach dem Update manuell prüfen: SHA-256-Prüfsummen der heruntergeladenen Images mit den offiziellen OpenWRT-Prüfsummen abgleichen
- Netzwerkverkehr des Routers auf unerwartete ausgehende Verbindungen überprüfen, die auf eine Kompromittierung vor dem Patch hindeuten könnten
- Für kritische Umgebungen auf kryptografisch sichere Hashfunktionen mit ausreichender Entropie setzen und die automatische Bereinigung von Build-Caches deaktivieren, bis ein vollständiges Audit abgeschlossen ist
Der Vorfall unterstreicht die Bedeutung regelmäßiger Security-Audits und zeitnaher Patches in der IoT-Sicherheit. Zur Prävention ähnlicher Vorfälle empfiehlt sich die Implementierung zusätzlicher Integritätsprüfungen bei Firmware-Updates sowie die Nutzung kryptografisch sicherer Hashfunktionen mit ausreichender Entropie.
