OpenWrt proiektuak garatutako ASU (Attended SysUpgrade) tresna-tresnean, ahultasun larriak identifikatu dira (CVE-2024-54143), sysupgrade.openwrt.org zerbitzuaren edo hirugarrenen ASU zerbitzarien bidez banatzen diren muntaia-artefaktuak arriskutsuak ahalbidetzen dituztenak, eta lortzen dutenak. Erasotzaile batek erabiltzaile-sistemetan aldatutako firmware-irudien instalazioa "bertako eguneraketa" modua erabiliz firmwarea eguneratzeko web interfazearen bidez selector.openwrt.org edo attended.sysupgrade komando lerroko tresna.
Eraso bat arrakastaz burutzeko, erasotzaileak ASU zerbitzariari muntaia sortzeko eskaera besterik ez du bidali behar (edozein erabiltzailek bidali ditzake eskaera horiek autentifikaziorik gabe). Bereziki diseinatutako paketeen zerrenda manipulatuz, erasotzaileak aldez aurretik sortutako irudi gaiztoak bidaltzea antola dezake, beste erabiltzaileen legezko eraikuntza-eskaerei erantzunez.
ASU zerbitzua OpenWrt-en erabiltzen da firmware-eguneratzeak sortzeko eta instalatzeko, dauden ezarpenak eta erabiltzaileak instalatutako paketeak galdu gabe. Web interfaze edo komando lerroko tresna baten bidez, erabiltzaileak firmware-irudi eguneratua sortzeko eskaera bidaltzen du, bere sisteman instalatutako paketeak adieraziz. Denbora pixka bat igaro ondoren, ASU zerbitzariak agindutako edukiari dagokion irudia sortzen du, eta, ondoren, erabiltzaileak deskargatu eta bere gailuan keinu egiten du. Gainera, eguneratutako firmwarean lehendik dauden ezarpenak gordetzeko aukera ematen du.
ASU zerbitzaria erabiltzaileen eskaerak prozesatzeaz, ImageBuilder tresnak erabiliz firmware irudien eraikuntza automatikoak abiarazteaz eta aurretik prestatutako eraikuntzaren cache bat mantentzeaz arduratzen da. Erabiltzaile batek dagoeneko eraiki den irudi bat eskatzen badu... zerbitzaria eta garrantzitsua izaten jarraitzen badu, sistemak berehala itzultzen du lehendik dagoen irudia cachetik eraikuntza-prozesua hasi gabe.
Erasoaren jokabidea bi ahultasunengatik egin zen posible:
- Imagebuilder toolkit-eko build_reques.py eskaera-kudeatzailearen ahultasun bat, zeinak norberaren komandoak eraikitze-prozesuan ordezkatzea ahalbidetzen duen erabiltzaileak formateatutako pakete-izenak emanez. Zaurgarritasuna paketeen izenetan karaktere bereziak behar bezala egiaztatu ez izanak eragiten du make utility-rako argumentu gisa erabili aurretik. Ahultasun hori aprobetxatuz, erasotzaileak firmware maltzurren irudiak sor ditzake muntaia-gako egokiarekin sinatutako zerbitzarian.
- util.py liburutegiko ahultasun bat, SHA-256 hash-ak, prest egindako firmware-irudien presentzia cachean egiaztatzeko erabilitakoak, 12 karakteretara moztu ziren, eta horrek entropia maila nabarmen murriztu zuen eta posible egin zuen. , talkaren hautapenaren bidez, bere hash-arekin bat egiten duen irudi maltzur bat osatzeko modu legitimoan. Imagebuilder-en ahultasun batekin konbinatuta, hashekin arazo bat erabil lezake erasotzaile batek ASU zerbitzariaren cachea "kutsatzeko" eta ohiko erabiltzaileen eskaerei itzultzen diren irudi gaiztoak bertan jartzeko.
Erasoa gertatzea ahalbidetu zuen aldaketa uztailaren 8an egin zen. Arazoa abenduaren 4an konpondu zen. Segurtasun neurri bereiziak erabili ziren ASU zerbitzuaren funtzionamendua bermatzeko. zerbitzariak, proiektuaren eraikuntza-sistema nagusiekin gurutzatzen ez direnak, OpenWrt Buildbot-etik bereizita daudenak eta ez duten baliabide konfidentzialetarako sarbiderik, hala nola SSH gakoak eta sinadura digitalak sortzeko ziurtagiriak.
Uste da OpenWrt-eko garatzaileek ez zutela proiektuaren azpiegituraren arrisku-arrastorik aurkitu, baina seguru egoteko, osagai ahulak hutsetik exekutatzen zituzten sistemak berriro instalatu zituzten. Arazoak ez du eraginik izan downloads.openwrt.org webgunearen bidez banatzen diren irudi ofizialetan, eta muntaketa-erregistroak aztertzean, ez da eskaera maltzurren arrastorik aurkitu. Aldi berean, ASU zerbitzariek 7 egun baino zaharragoak diren muntaiak automatikoki garbitzen dituztenez, ezinezkoa izan da muntaia zaharrak ikuskatzea.
Identifikatutako ahultasunak praktikan OpenWrt azpiegituraren bidez irudi gaiztoak zabaltzeko erabiltzeko probabilitatea zerotik hurbil dagoela baloratzen dute OpenWrt-eko ordezkariek, hala ere, ASUko erabiltzaileei gomendatzen zaie beren gailuetako OpenWrt firmwarea bertsio berarekin ordezkatzea.
Iturria: opennet.ru
