Фахівець з кібербезпеки компанії Flatt Security виявив критичні вразливості в системі Attended SysUpgrade (ASU) проєкту OpenWRT, що створюють серйозну загрозу для безпеки мережевих пристроїв. Вразливостям присвоєно ідентифікатор CVE-2024-54143 та критичний рівень небезпеки 9,3 за шкалою CVSS.
Технічний аналіз виявлених вразливостей
Вразливості зачіпають сервіс sysupgrade.openwrt.org, який забезпечує створення користувацьких образів прошивки зі збереженням встановлених пакетів та налаштувань. Дослідник RyotaK ідентифікував два критичних вектори атаки, що становлять серйозну загрозу для інфраструктури OpenWRT.
Вразливість командної ін’єкції
Перша вразливість пов’язана з небезпечною обробкою користувацького введення при використанні команди make в контейнерному середовищі. Зловмисники можуть маніпулювати іменами пакетів для впровадження довільних команд, що потенційно дозволяє отримати контроль над системою збірки ASU-сервера.
Недоліки в системі хешування
Друга вразливість полягає у використанні скороченого 12-символьного хешу SHA-256 для кешування збірок. Обмежена ентропія у 48 біт робить систему вразливою до колізій хешів. Дослідники довели можливість створення колізій за допомогою GPU NVIDIA RTX 4090, що відкриває шлях до підміни легітимних образів прошивки шкідливими версіями.
Хто під загрозою
Вразливість безпосередньо стосується всіх пристроїв, що використовують публічний сервіс sysupgrade.openwrt.org для оновлення прошивки з налаштованим набором пакетів. Особливо вразливими є:
- організації, які розгортають self-hosted екземпляри ASU без додаткової валідації підпису образів
- мережеві адміністратори, що автоматизують оновлення прошивок маршрутизаторів через ASU API
- корпоративні середовища з великою кількістю пристроїв на базі OpenWRT (SOHO-маршрутизатори, промислові шлюзи, точки доступу Wi-Fi)
Заходи реагування та рекомендації з безпеки
Команда розробників OpenWRT відреагувала оперативно: сервіс тимчасово призупинено, критичні вразливості усунуто, а функціональність відновлено протягом трьох годин після отримання повідомлення. Хоча прямих доказів активної експлуатації не виявлено, повний аудит неможливий через автоматичне очищення серверних логів ASU кожні 7 днів.
Що необхідно зробити
- Оновити прошивку всіх пристроїв OpenWRT до актуальної версії через офіційний сервіс sysupgrade після виходу виправлення
- Перевірити цілісність образів прошивки за допомогою офіційних SHA-256-хешів з сайту openwrt.org перед встановленням
- Якщо використовується self-hosted ASU, обмежити доступ до інтерфейсу збірки за IP та впровадити перевірку підпису образів
- Перевірити мережеві логи на аномальні запити до sysupgrade.openwrt.org у період з листопада по грудень 2024 року
- Впровадити моніторинг цілісності прошивок на критичних маршрутизаторах за допомогою hash-верифікації після кожного оновлення
