免费安卓手游下载、分享游戏攻略、电脑硬件资讯、数码科技最新资讯
当前位置: 首页 > 数码科技 > OpenWrt 发布紧急安全公告:严重漏洞 CVE-2024-54143 涉及固件升级服务

OpenWrt 发布紧急安全公告:严重漏洞 CVE-2024-54143 涉及固件升级服务

时间:2024-12-17 07:20

小编:小世评选

在当今数字化时代,网络安全问题日益受到重视,尤其是针对开源系统的安全性问题。12月6日,OpenWrt 团队发布了一则紧急安全公告,披露了一个严重漏洞——CVE-2024-54143,该漏洞涉及其固件升级服务 attended.sysupgrade。此次漏洞的发现由安全研究员 RyotaK 提出,他在家庭实验室的路由器升级过程中,无意中曝光了这一问题。该漏洞的 CVSS 评分高达 9.3,显示出其对用户安全的威胁程度之高。

漏洞概述

CVE-2024-54143 主要存在于 OpenWrt 的按需镜像服务器 ASU(Attended Sysupgrade)中。该服务支持用户根据自己的需求定制固件,方便了网络设备的管理和配置。正是这一便利性使其成为了潜在攻击的目标。公告中指出,该漏洞不需要身份验证即可被利用,极大地扩展了其影响范围,波及使用在线固件升级、firmware-selector.openwrt.org 或 attended.sysupgrade CLI 升级的 OpenWrt 设备。这意味着,任何使用这些服务的用户,都可能面临被攻击的风险。

攻击方式

攻击者利用该漏洞能够绕过完整性检查,悄无声息地修改固件,或者在固件的构建过程中注入恶意命令。攻击者可获得对用户设备的完全控制权。以下是该漏洞形成的两个主要原因:

1. 恶意命令注入:攻击者能够在构建镜像时,通过提交含有恶意命令的软件包列表,将任意命令注入至构建过程中。这意味着,即使生成的固件镜像使用合法密钥签名,也可能植入恶意代码,完全危害用户设备的安全。

2. 请求哈希机制的脆弱性:attended.sysupgrade 服务的请求哈希机制,将 SHA-256 哈希值截断为仅12个字符。这种截断大幅削弱了哈希的安全性,攻击者可以利用这种简单的哈希碰撞,制作出恶意镜像并替换掉合法的镜像,从而污染 artifact(软件制品)缓存,最终将恶意固件推送给用户。这样的攻击,尤其在缺乏必要的安全审查和验证措施的情况下,具有极大的破坏力。

影响范围

OpenWrt 团队表示,虽然当前尚无证据表明 downloads.openwrt.org 提供的镜像受到影响,但由于性限制,强烈建议用户采取预防措施,安装最新生成的镜像,以替换可能受风险威胁的固件。这对于所有使用 OpenWrt 的用户都是一项重要的安全提示。

官方响应与补救措施

为了应对这一严重漏洞,OpenWrt 官方已经发布了相应的补丁,修复了漏洞源头。团队建议所有用户立即更新系统,以保障设备的安全性。这一更新不仅是为了修复漏洞,也是为了增强系统的安全防御,保护用户免受新型网络攻击的威胁。

用户在进行固件升级时,应优先选择官方网站提供的资源,并确保定期检查软件更新,以确保网络设备始终运行在安全的环境中。用户还应定期核查网络设备的日志,及时发现并排查潜在的安全隐患。

OpenWrt 团队发布的 CVE-2024-54143 漏洞不仅警示了开源项目在网络安全方面的脆弱性,也突显了及时响应和修复安全漏洞的重要性。用户在享受开源软件带来的便利时,更应时刻保持警惕,定期关注相关的安全公告,采取适当的安全措施,以保护自己的设备和数据不受侵害。随着网络安全问题的日益突出,个人用户和企业都应加强安全意识,共同维护我们的网络环境安全。IT之家也提醒所有用户,不仅要及时更新系统,还应对安全知识保持敏感,以应对可能随时发生的网络威胁。

精品推荐

相关文章

猜你喜欢

更多

热门文章

更多