12月10日消息，近日，開源路由系統(tǒng)OpenWrt被網(wǎng)絡(luò)安全研究人員揭露存在一個(gè)嚴(yán)重的安全漏洞，該漏洞被分配了CVE-2024-54143編號(hào)，并獲得了9.3/10的高風(fēng)險(xiǎn)評(píng)級(jí)（CVSS4.0）。

研究人員RyotaK在為自家路由器進(jìn)行常規(guī)升級(jí)時(shí)發(fā)現(xiàn)了這個(gè)漏洞，它涉及到命令注入和哈希截?cái)嗟膯栴}。OpenWrt的Attended Sysupgrade服務(wù)允許用戶定制固件映像，但該服務(wù)的服務(wù)器代碼中存在不安全的make命令使用，導(dǎo)致了輸入機(jī)制的缺陷，使得攻擊者可以通過軟件包名稱執(zhí)行任意命令。

此外，該服務(wù)使用的SHA-256哈希僅限于12個(gè)字符的緩存，相當(dāng)于48位哈希，這使得暴力破解成為可能。攻擊者可以利用Hashcat工具在RTX 4090顯卡上修改固件，向用戶提供惡意版本。

OpenWrt項(xiàng)目組在接到通報(bào)后迅速行動(dòng)，僅在數(shù)小時(shí)內(nèi)就完成了漏洞修復(fù)，并關(guān)閉了升級(jí)服務(wù)器以防止進(jìn)一步的安全威脅。修復(fù)工作于2024年12月4日完成，并恢復(fù)了升級(jí)服務(wù)器的運(yùn)行。

盡管OpenWrt團(tuán)隊(duì)表示，目前沒有證據(jù)表明有人利用了該漏洞，且映像被破壞的可能性極低，但用戶仍被建議下載新生成的映像以替換可能存在風(fēng)險(xiǎn)的舊映像。此外，對(duì)于使用第三方開發(fā)者提供的編譯版本的用戶，需要關(guān)注第三方開發(fā)者的更新動(dòng)態(tài)，以便及時(shí)獲取修復(fù)后的固件。

OpenWrt團(tuán)隊(duì)強(qiáng)調(diào)，盡管日志記錄僅限于過去7天，但為了安全起見，用戶應(yīng)當(dāng)執(zhí)行就地升級(jí)替換，以消除潛在的安全風(fēng)險(xiǎn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。