OpenWrt Attended SysUpgrade 命令注入漏洞

北京赛克艾威科技有限公司 2024-12-10

  • 漏洞编号:CVE-2024-54143
  • 漏洞等级:高危
  • 漏洞标签:暂无
  • 发布时间:2024-12-10

漏洞描述

OpenWrt 的 Attended SysUpgrade(ASU)服务中存在命令注入漏洞和弱哈希漏洞。该命令注入漏洞源于 Imagebuilder 在构建过程中未能正确处理用户提供的软件包名称,导致攻击者可以将任意命令注入构建过程,生成恶意固件镜像。同时,由于 SHA\-256 哈希被截断至12个字符,降低了哈希的复杂性,增加了哈希碰撞的可能性,使得攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而影响已交付版本的完整性。

修复建议

暂无

参考链接

https://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/

https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q

https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e

https://stack.chaitin.com/vuldb/detail/d703ce81-86c7-4e2c-9eb2-1a2f530ff7cc