Фахівець з кібербезпеки компанії Flatt Security виявив критичні вразливості в системі Attended SysUpgrade (ASU) проєкту OpenWRT, що створюють серйозну загрозу для безпеки користувачів. Виявленим вразливостям присвоєно ідентифікатор CVE-2024-54143 та критичний рівень небезпеки 9,3 за шкалою CVSS, що свідчить про потенційно катастрофічні наслідки їх експлуатації.
Технічний аналіз виявлених вразливостей
Вразливості зачіпають сервіс sysupgrade.openwrt.org, який забезпечує створення користувацьких образів прошивки зі збереженням встановлених пакетів та налаштувань. Дослідник RyotaK ідентифікував два критичних вектори атаки, що становлять серйозну загрозу для інфраструктури OpenWRT.
Вразливість командної ін’єкції
Перша вразливість пов’язана з небезпечною обробкою користувацького введення при використанні команди make в контейнерному середовищі. Зловмисники можуть використовувати маніпуляції з іменами пакетів для впровадження довільних команд, що потенційно дозволяє отримати контроль над системою збірки.
Недоліки в системі хешування
Друга вразливість полягає у використанні скороченого 12-символьного хешу SHA-256 для кешування збірок. Обмежена ентропія у 48 біт робить систему вразливою до колізій хешів. Експериментально доведено можливість створення колізій за допомогою GPU NVIDIA RTX 4090, що відкриває шлях до підміни легітимних збірок шкідливими версіями.
Заходи реагування та рекомендації з безпеки
Команда розробників OpenWRT продемонструвала високу оперативність у реагуванні на інцидент. Сервіс було тимчасово призупинено, критичні вразливості усунуто, а функціональність відновлено протягом трьох годин після отримання повідомлення. Хоча прямих доказів експлуатації вразливостей не виявлено, повний аудит неможливий через автоматичне очищення серверів ASU кожні 7 днів.
Для забезпечення безпеки мережевої інфраструктури критично важливо оновити прошивки всіх пристроїв на базі OpenWRT до актуальних версій. Особливу увагу слід приділити системам, що використовують публічні self-hosted екземпляри ASU. Цей інцидент підкреслює необхідність регулярного моніторингу та своєчасного оновлення мережевого обладнання, а також впровадження додаткових механізмів верифікації цілісності програмного забезпечення в критичній інфраструктурі.
