2024-12-10 19:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | OpenWrt Attended SysUpgrade 命令注入漏洞 | ||
漏洞编号 | QVD-2024-49743,CVE-2024-54143 | ||
公开时间 | 2024-12-06 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 |
威胁类型 | 命令执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用命令注入漏洞将任意命令注入构建过程,生成恶意固件镜像。同时可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而影响已交付版本的完整性。 | |||
影响组件
OpenWrt 是一款基于Linux的开源固件项目,专为嵌入式设备如路由器设计,提供高度的自定义性和扩展性。它允许用户构建定制化的固件镜像,并在升级过程中保留已有的安装包和设置,增强了设备的灵活性和功能性。OpenWrt/ASU(Attended SysUpgrade)是 OpenWrt 项目的一个关键组件,它提供了一个用户友好的系统升级服务。ASU 允许用户轻松升级他们的 OpenWrt 固件,同时保留已安装的软件包和设置。
漏洞描述
影响版本
其他受影响组件
无
奇安信鹰图资产测绘平台数据显示,OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)关联的国内风险资产总数为184058个,关联IP总数为63299个。全球风险资产分布情况如下:
安全更新
目前官方已通过 920c8a1 提交进行修复,建议受影响用户尽快应用补丁以缓解该漏洞。
官方补丁下载地址:
https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
修复缓解措施:
1.暂时停止使用ASU服务进行固件升级,直到确认服务已更新并修复了相关漏洞。
2.手动验证固件镜像的完整性和来源,确保其未被篡改。
[1]https://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/
[2]https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q
[3]https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
2024年12月10日,奇安信 CERT发布安全风险通告。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。
如有侵权请联系:admin#unsafe.sh