Исследователь кибербезопасности из компании Flatt Security выявил серьезные уязвимости в системе Attended SysUpgrade (ASU) проекта OpenWRT, которые могли позволить злоумышленникам распространять вредоносные прошивки среди пользователей. Обнаруженным уязвимостям присвоен идентификатор CVE-2024-54143 с критическим уровнем опасности 9,3 по шкале CVSS.
Механизм работы уязвимостей
Проблема затрагивает сервис sysupgrade.openwrt.org, предназначенный для создания пользовательских образов прошивки с сохранением установленных пакетов и настроек. Исследователь RyotaK обнаружил две критические уязвимости в механизме обработки входных данных:
Инъекция команд
Первая уязвимость связана с небезопасным использованием команды make при обработке пользовательского ввода в контейнерном окружении. Это позволяло злоумышленникам внедрять произвольные команды через манипуляции с именами пакетов.
Проблема хеширования
Вторая уязвимость заключается в использовании усеченного 12-символьного хеша SHA-256 для кеширования сборок, что ограничивает энтропию до 48 бит. Эксперт продемонстрировал возможность проведения успешной атаки с использованием GPU NVIDIA RTX 4090 для создания коллизий хешей, что позволяет подменять легитимные сборки вредоносными версиями.
Кто подвержен риску
Уязвимость затрагивает широкий круг пользователей и организаций:
- Домашние пользователи роутеров на базе OpenWRT, использующие сервис ASU для обновления прошивки
- Организации с корпоративной сетевой инфраструктурой на базе OpenWRT-совместимых устройств
- Операторы публичных self-hosted экземпляров ASU, которые могут распространять скомпрометированные образы
- Разработчики и провайдеры, предлагающие кастомные сборки OpenWRT конечным клиентам
Реакция разработчиков и меры безопасности
Команда OpenWRT оперативно отреагировала на обнаруженные уязвимости: сервис был временно отключен, проблемы устранены, и работоспособность восстановлена в течение трех часов после получения уведомления. Хотя нет доказательств использования уязвимостей в реальных атаках, провести полный аудит невозможно из-за автоматической очистки серверов ASU каждые 7 дней.
Что необходимо сделать пользователям OpenWRT
- Немедленно обновите прошивку всех устройств OpenWRT до актуальных версий через официальный сайт openwrt.org.
- При использовании self-hosted экземпляра ASU — обновите его до последней версии и проверьте целостность всех генерируемых образов.
- Проверьте хэш-суммы загруженных образов прошивок перед установкой, сверяясь с официально опубликованными значениями.
- Ограничьте доступ к интерфейсу управления роутером — отключите WAN-доступ к веб-интерфейсу и используйте только локальную сеть или VPN.
- Подпишитесь на список безопасности OpenWRT для оперативного получения уведомлений о будущих уязвимостях.
