- 14,594
- 22
- 8 Ноя 2022
Критическая уязвимость оставляет IoT-оборудование без защиты.
Критическая уязвимость в функции OpenWrt Для просмотра ссылки Войдиили Зарегистрируйся используемой для создания пользовательских образов прошивки, могла позволить распространять вредоносные версии.
OpenWrt представляет собой ОС на базе Linux , предназначенную для маршрутизаторов, точек доступа и IoT -оборудования. Благодаря возможностям настройки и поддержке устройств различных брендов, таких как ASUS, D-Link, Zyxel, система часто используется в качестве альтернативы заводской прошивке.
Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 9.3) Для просмотра ссылки Войди или Зарегистрируйся специалистами Flatt Security во время обновления домашнего маршрутизатора. Проблема позволяет выполнять произвольные команды через обработку входных данных в сервисе sysupgrade.openwrt.org.
Кроме того, в работе сервиса выявлена вторая проблема — использование усечённого SHA-256 хэша длиной 12 символов для кеширования сборок, что снижает стойкость механизма безопасности, делая возможным перебор коллизий с помощью специализированных инструментов. Это позволяет атакующему создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
В совокупности обе ошибки позволяют модифицировать образ прошивки и заменить её вредоносной версией. После приватного отчёта команда OpenWrt немедленно отключила сервис sysupgrade.openwrt.org, Для просмотра ссылки Войдиили Зарегистрируйся и восстановила работу платформы за 3 часа 4 декабря.
Разработчики уверены, что Для просмотра ссылки Войдиили Зарегистрируйся уязвимости маловероятна, а образы, доступные на основном сервере загрузок, не подвергались компрометации. Однако, поскольку доступные логи покрывают только последние 7 дней, всем пользователям настоятельно рекомендовано обновить прошивки своих устройств.
Рекомендации пользователям
Критическая уязвимость в функции OpenWrt Для просмотра ссылки Войди
OpenWrt представляет собой ОС на базе Linux , предназначенную для маршрутизаторов, точек доступа и IoT -оборудования. Благодаря возможностям настройки и поддержке устройств различных брендов, таких как ASUS, D-Link, Zyxel, система часто используется в качестве альтернативы заводской прошивке.
Уязвимость Для просмотра ссылки Войди
Кроме того, в работе сервиса выявлена вторая проблема — использование усечённого SHA-256 хэша длиной 12 символов для кеширования сборок, что снижает стойкость механизма безопасности, делая возможным перебор коллизий с помощью специализированных инструментов. Это позволяет атакующему создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
В совокупности обе ошибки позволяют модифицировать образ прошивки и заменить её вредоносной версией. После приватного отчёта команда OpenWrt немедленно отключила сервис sysupgrade.openwrt.org, Для просмотра ссылки Войди
Разработчики уверены, что Для просмотра ссылки Войди
Рекомендации пользователям
- Обновить версии прошивок на маршрутизаторах;
- Если используется публично доступная или размещенная на собственном сервере версия сервиса ASU, её необходимо немедленно обновить;
- Для повышения безопасности предложено выполнить обновление даже в рамках той же версии прошивки.
- Источник новости
- www.securitylab.ru
