Kwesbaarhede wat beeldbedrog en kode-uitvoering op ASU-bedieners van die OpenWrt-projek moontlik maak

In die ASU (Attended SysUpgrade)-nutsmiddelstel wat deur die OpenWrt-projek ontwikkel is, is kritieke kwesbaarhede geïdentifiseer (CVE-2024-54143), wat kompromitterende samestellingsartefakte moontlik maak wat deur die sysupgrade.openwrt.org-diens of derdeparty ASU-bedieners versprei word, en die bereiking van die installering van firmwarebeelde wat deur 'n aanvaller op gebruikersstelsels gewysig is, deur die "bygewoonde opgradering"-modus te gebruik om firmware op te dateer via die webkoppelvlak selector.openwrt.org of die attended.sysupgrade-opdragreëlnutsding.

Om 'n aanval suksesvol uit te voer, hoef 'n aanvaller slegs 'n versoek te stuur om 'n samestelling te genereer na die ASU-bediener (enige gebruiker kan sulke versoeke sonder verifikasie stuur). Deur 'n spesiaal ontwerpte lys van pakkette te manipuleer, kan 'n aanvaller reël dat voorheen gegenereerde kwaadwillige beelde gestuur word in reaksie op wettige bouversoeke van ander gebruikers.

Die ASU-diens word in OpenWrt gebruik om firmware-opdaterings te genereer en te installeer sonder om bestaande instellings en gebruiker-geïnstalleerde pakkette te verloor. Deur 'n webkoppelvlak of opdragreëlinstrument stuur die gebruiker 'n versoek om 'n opgedateerde firmwarebeeld te genereer, wat die pakkette aandui wat op sy stelsel geïnstalleer is. Na 'n rukkie genereer die ASU-bediener 'n beeld wat ooreenstem met die bestelde inhoud, waarna die gebruiker dit aflaai en op sy toestel flits. Daarbenewens word 'n opsie verskaf waarmee u bestaande instellings in die opgedateerde firmware kan stoor.

ASU-bediener is verantwoordelik vir die verwerking van gebruikersversoeke, die lansering van outomatiese firmware-beeldboue met behulp van ImageBuilder-gereedskap en die instandhouding van 'n kasgeheue van voorheen voorbereide boue. As 'n gebruiker 'n beeld aanvra waarop reeds gebou is bediener en relevant bly, stuur die stelsel onmiddellik die bestaande beeld uit die kas terug sonder om die bouproses te begin.

Die aanvalsgedrag is moontlik gemaak weens twee kwesbaarhede:

  • 'n Kwesbaarheid in die build_reques.py-versoekhanteerder van die Imagebuilder-gereedskapstel, wat die vervanging van 'n mens se eie opdragte in die bouproses moontlik maak deurdat die gebruiker spesiaal geformateerde pakketname deurgee. Die kwesbaarheid word veroorsaak deur die gebrek aan behoorlike kontrolering van spesiale karakters in pakketname voordat dit as argumente vir die make-nutsmiddel gebruik word. Deur voordeel te trek uit hierdie kwesbaarheid, kan 'n aanvaller kwaadwillige firmwarebeelde skep op die bediener wat met die korrekte samestellingsleutel onderteken is.
  • 'n Kwesbaarheid in die util.py-biblioteek wat veroorsaak word deur die feit dat SHA-256-hashes, wat gebruik word om die teenwoordigheid van klaargemaakte firmwarebeelde in die kas na te gaan, tot 12 karakters gesny is, wat die vlak van entropie aansienlik verminder en dit moontlik gemaak het , deur botsing seleksie, om 'n kwaadwillige beeld te vorm waarvan die hash op 'n wettige manier saamval. Gekombineer met 'n kwesbaarheid in Imagebuilder, kan 'n probleem met hashes deur 'n aanvaller gebruik word om die ASU Server-kas te "kontamineer" en kwaadwillige beelde daarin te plaas wat na versoeke van gereelde gebruikers teruggestuur word.

Die verandering wat die aanval toegelaat het, is op 8 Julie aangebring. Die probleem is op 4 Desember opgelos. Afsonderlike sekuriteitsmaatreëls is gebruik om die werking van die ASU-diens te verseker. bedieners, wat nie met die projek se hoofboustelsels kruis nie, is geskei van OpenWrt Buildbot, en het nie toegang tot vertroulike hulpbronne soos SSH-sleutels en sertifikate vir die generering van digitale handtekeninge nie.

Daar word beweer dat die OpenWrt-ontwikkelaars geen spore van kompromie van die projek se infrastruktuur gevind het nie, maar om aan die veilige kant te wees, het hulle die stelsels waarop die kwesbare komponente van nuuts af loop, weer geïnstalleer. Die probleem het nie die amptelike beelde beïnvloed wat deur die webwerf downloads.openwrt.org versprei is nie, en toe die samestellingslogboeke ontleed is, is geen spore van kwaadwillige versoeke gevind nie. Terselfdertyd, aangesien ASU-bedieners samestellings ouer as 7 dae outomaties skoonmaak, was dit onmoontlik om ou samestellings te oudit.

Die waarskynlikheid om die geïdentifiseerde kwesbaarhede in die praktyk te gebruik om kwaadwillige beelde deur die OpenWrt-infrastruktuur te versprei, word deur OpenWrt-verteenwoordigers as naby aan nul beoordeel, maar ASU-gebruikers word aanbeveel om die OpenWrt-firmware op hul toestelle met dieselfde weergawe te vervang.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster