Yn 'e ASU (Attended SysUpgrade) toolkit ûntwikkele troch it OpenWrt-projekt, binne krityske kwetsberens identifisearre (CVE-2024-54143), wêrtroch kompromittearjende assemblage-artefakten kinne ferspraat fia de sysupgrade.openwrt.org-tsjinst of ASU-tsjinners fan tredden, en berikke de ynstallaasje fan firmwareôfbyldings feroare troch in oanfaller op brûkerssystemen, mei de "bywenne upgrade" modus om firmware te aktualisearjen fia de webynterface selector.openwrt.org of it attended.sysupgrade kommandorigelark.
Om in oanfal mei súkses út te fieren, hoecht in oanfaller allinich in fersyk te stjoeren om in gearstalling te generearjen nei de ASU-tsjinner (elke brûker kin sokke fersiken sûnder autentikaasje stjoere). Troch it manipulearjen fan in spesjaal ûntwurpen list mei pakketten, kin in oanfaller soargje dat earder oanmakke kweade ôfbyldings wurde ferstjoerd yn antwurd op legitime build-oanfragen fan oare brûkers.
De ASU-tsjinst wurdt brûkt yn OpenWrt om firmware-updates te generearjen en te ynstallearjen sûnder besteande ynstellings en brûker-ynstalleare pakketten te ferliezen. Troch in webynterface of kommandorigelark stjoert de brûker in fersyk om in aktualisearre firmwareôfbylding te generearjen, mei oanjout fan de pakketten ynstalleare op syn systeem. Nei in skoft genereart de ASU-tsjinner in ôfbylding dy't oerienkomt mei de bestelde ynhâld, wêrnei't de brûker it downloadt en op syn apparaat flitst. Derneist wurdt in opsje levere wêrmei jo besteande ynstellings kinne bewarje yn 'e bywurke firmware.
ASU-tsjinner is ferantwurdlik foar it ferwurkjen fan brûkersoanfragen, it starten fan automatyske firmware-ôfbyldingsbuilds mei ImageBuilder-ark en it ûnderhâlden fan in cache fan earder taret builds. As in brûker in ôfbylding oanfreget dy't al boud is op ... server en relevant bliuwt, jout it systeem de besteande ôfbylding fuortendaliks werom út 'e cache sûnder it bouproses te starten.
It oanfalgedrach waard mooglik makke troch twa kwetsberens:
- In kwetsberens yn 'e build_reques.py-oanfraachhanneler fan' e Imagebuilder-ark, dy't it ferfangen fan eigen kommando's yn it bouproses mooglik makket troch de brûker dy't spesjaal opmakke pakketnammen trochjaan. De kwetsberens wurdt feroarsake troch it gebrek oan goede kontrôle fan spesjale tekens yn pakketnammen foardat se brûkt wurde as arguminten foar it make-nutsbedriuw. Troch dizze kwetsberens te profitearjen, kin in oanfaller kweade firmware-ôfbyldings meitsje op 'e server dy't tekene is mei de juste assemblagekaai.
- In kwetsberens yn 'e util.py-bibleteek feroarsake troch it feit dat SHA-256-hashes, brûkt om de oanwêzigens fan klearmakke firmware-ôfbyldings yn 'e cache te kontrolearjen, waarden ôfsnien nei 12 tekens, wat it nivo fan entropy signifikant fermindere en it mooglik makke , troch botsing seleksje, om in kwea-aardich byld te foarmjen wêrfan de hash op in legitime manier oerienkomt. Kombinearre mei in kwetsberens yn Imagebuilder, koe in probleem mei hashes brûkt wurde troch in oanfaller om de ASU Server-cache te "kontaminearjen" en dêryn kweade ôfbyldings te pleatsen dy't weromkomme nei fersiken fan reguliere brûkers.
De feroaring dy't de oanfal mooglik makke, waard makke op 8 july. It probleem waard op 4 desimber oplost. Der waarden aparte feiligensmaatregels brûkt om de wurking fan 'e ASU-tsjinst te garandearjen. servers, dy't net oerienkomme mei de haadbousystemen fan it projekt, binne skieden fan OpenWrt Buildbot, en hawwe gjin tagong ta fertroulike boarnen lykas SSH-kaaien en sertifikaten foar it generearjen fan digitale hantekeningen.
It wurdt beweare dat de OpenWrt-ûntwikkelders gjin spoaren fûnen fan kompromis fan 'e ynfrastruktuer fan it projekt, mar om op' e feilige kant te wêzen, hawwe se de systemen opnij ynstalleare wêrop de kwetsbere komponinten fanôf it begjin rûnen. It probleem hie gjin ynfloed op de offisjele ôfbyldings ferspraat fia de webside downloads.openwrt.org, en by it analysearjen fan de gearkomste logs, gjin spoaren fan kweade oanfragen fûn. Tagelyk, om't ASU-tsjinners assemblies âlder dan 7 dagen automatysk skjinmeitsje, die bliken dat it ûnmooglik wie om âlde gearkomsten te kontrolearjen.
De kâns om de identifisearre kwetsberens yn 'e praktyk te brûken om kweade ôfbyldings te fersprieden troch de OpenWrt-ynfrastruktuer wurdt beoardiele troch OpenWrt-fertsjintwurdigers as tichtby nul, lykwols, ASU-brûkers wurde oanrikkemandearre om de OpenWrt-firmware op har apparaten te ferfangen mei deselde ferzje.
Boarne: opennet.ru
