Në paketën e veglave ASU (Attended SysUpgrade) të zhvilluar nga projekti OpenWrt, janë identifikuar dobësi kritike (CVE-2024-54143), të cilat lejojnë objekte komprometuese të montimit të shpërndara përmes shërbimit sysupgrade.openwrt.org ose serverëve ASU të palëve të treta. instalimi i imazheve të firmuerit të modifikuara nga një sulmues në sistemet e përdoruesve duke përdorur modalitetin "përmirësimi i ndjekur" për të përditësuar firmuerin përmes ndërfaqes së internetit selector.openwrt.org ose mjeti i linjës së komandës visited.sysupgrade.
Për të kryer me sukses një sulm, një sulmues duhet vetëm të dërgojë një kërkesë për të gjeneruar një asamble në serverin ASU (çdo përdorues mund të dërgojë kërkesa të tilla pa vërtetim). Duke manipuluar një listë të krijuar posaçërisht paketash, një sulmues mund të organizojë që imazhet me qëllim të keq të krijuara më parë të dërgohen në përgjigje të kërkesave legjitime të ndërtimit nga përdoruesit e tjerë.
Shërbimi ASU përdoret në OpenWrt për të gjeneruar dhe instaluar përditësime të firmuerit pa humbur cilësimet ekzistuese dhe paketat e instaluara nga përdoruesi. Nëpërmjet një ndërfaqe në internet ose mjet të linjës komanduese, përdoruesi dërgon një kërkesë për të gjeneruar një imazh të përditësuar të firmuerit, duke treguar paketat e instaluara në sistemin e tij. Pas ca kohësh, serveri ASU gjeneron një imazh që korrespondon me përmbajtjen e porositur, pas së cilës përdoruesi e shkarkon atë dhe e ndez në pajisjen e tij. Për më tepër, ofrohet një opsion që ju lejon të ruani cilësimet ekzistuese në firmware-in e përditësuar.
Serveri ASU është përgjegjës për përpunimin e kërkesave të përdoruesve, nisjen e ndërtimeve automatike të imazheve të firmware-it duke përdorur mjetet ImageBuilder dhe mirëmbajtjen e një memorjeje të përkohshme të ndërtimeve të përgatitura më parë. Nëse një përdorues kërkon një imazh që është ndërtuar tashmë në server dhe mbetet relevante, sistemi kthen menjëherë imazhin ekzistues nga memoria e përkohshme pa filluar procesin e ndërtimit.
Sjellja e sulmit u bë e mundur për shkak të dy dobësive:
- Një cenueshmëri në mbajtësin e kërkesave build_reques.py nga paketa e veglave Imagebuilder, e cila lejon zëvendësimin e komandave të dikujt në procesin e ndërtimit përmes përdoruesit që kalon emrat e paketave të formatuara posaçërisht. Dobësia shkaktohet nga mungesa e kontrollit të duhur të karaktereve speciale në emrat e paketave përpara përdorimit të tyre si argumente për mjetin make. Duke përfituar nga kjo dobësi, një sulmues mund të krijojë imazhe të firmuerit me qëllim të keq në server të nënshkruar me çelësin e duhur të montimit.
- Një dobësi në bibliotekën util.py e shkaktuar nga fakti se haset SHA-256, të përdorura për të kontrolluar praninë e imazheve të gatshme të firmuerit në cache, u prenë në 12 karaktere, gjë që uli ndjeshëm nivelin e entropisë dhe e bëri të mundur , përmes përzgjedhjes së përplasjeve, për të formuar një imazh me qëllim të keq, hash-i i të cilit përkon në një mënyrë legjitime. I kombinuar me një dobësi në Imagebuilder, një problem me hash-et mund të përdoret nga një sulmues për të "ndotur" memorien e serverit ASU dhe për të vendosur imazhe me qëllim të keq në të që u kthehen kërkesave nga përdoruesit e rregullt.
Ndryshimi që lejoi sulmin të ndodhte u bë më 8 korrik. Problemi u rregullua më 4 dhjetor. U përdorën masa të veçanta sigurie për të siguruar funksionimin e shërbimit ASU. serverat, të cilat nuk kryqëzohen me sistemet kryesore të ndërtimit të projektit, janë të ndara nga OpenWrt Buildbot dhe nuk kanë qasje në burime konfidenciale siç janë çelësat SSH dhe certifikatat për gjenerimin e nënshkrimeve dixhitale.
Pretendohet se zhvilluesit e OpenWrt nuk gjetën asnjë gjurmë kompromisi të infrastrukturës së projektit, por për të qenë në anën e sigurt, ata riinstaluan sistemet në të cilat komponentët e cenueshëm po funksiononin nga e para. Problemi nuk ndikoi në imazhet zyrtare të shpërndara përmes faqes së internetit downloads.openwrt.org dhe gjatë analizimit të regjistrave të montimit, nuk u gjetën gjurmë të kërkesave me qëllim të keq. Në të njëjtën kohë, meqenëse serverët ASU pastrojnë automatikisht asambletë më të vjetra se 7 ditë, doli të ishte e pamundur të auditoheshin asambletë e vjetra.
Mundësia e përdorimit të dobësive të identifikuara në praktikë për të përhapur imazhe me qëllim të keq përmes infrastrukturës OpenWrt vlerësohet nga përfaqësuesit e OpenWrt si afër zeros, megjithatë, përdoruesve të ASU rekomandohet të zëvendësojnë firmware OpenWrt në pajisjet e tyre me të njëjtin version.
Burimi: opennet.ru
