● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
OpenWrt Attended SysUpgrade 命令注入漏洞 |
||
|
漏洞编号 |
QVD-2024-49743,CVE-2024-54143 |
||
|
公开时间 |
2024-12-06 |
影响量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
8.1 |
|
威胁类型 |
命令执行 |
利用可能性 |
高 |
|
POC状态 |
已公开 |
在野利用状态 |
未发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
已公开 |
|
危害描述:攻击者可以利用命令注入漏洞将任意命令注入构建过程,生成恶意固件镜像。同时可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而影响已交付版本的完整性。 |
|||
影响组件
OpenWrt 是一款基于Linux的开源固件项目,专为嵌入式设备如路由器设计,提供高度的自定义性和扩展性。它允许用户构建定制化的固件镜像,并在升级过程中保留已有的安装包和设置,增强了设备的灵活性和功能性。OpenWrt/ASU(Attended SysUpgrade)是 OpenWrt 项目的一个关键组件,它提供了一个用户友好的系统升级服务。ASU 允许用户轻松升级他们的 OpenWrt 固件,同时保留已安装的软件包和设置。
漏洞描述
影响版本
其他受影响组件
无
奇安信鹰图资产测绘平台数据显示,OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)关联的国内风险资产总数为184058个,关联IP总数为63299个。全球风险资产分布情况如下:
安全更新
目前官方已通过 920c8a1 提交进行修复,建议受影响用户尽快应用补丁以缓解该漏洞。
官方补丁下载地址:
https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
修复缓解措施:
1.暂时停止使用ASU服务进行固件升级,直到确认服务已更新并修复了相关漏洞。
2.手动验证固件镜像的完整性和来源,确保其未被篡改。
[1]https://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/
[2]https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q
[3]https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
2024年12月10日,奇安信 CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论