Wykryta luka w zabezpieczeniach systemu OpenWrt, popularnym otwartoźródłowym systemie operacyjnym dla routerów i innych urządzeń sieciowych, może stanowić poważne zagrożenie dla użytkowników. Występujący problem dotyczył funkcji Attended Sysupgrade (ASU) i mógł zostać wykorzystany do rozprzestrzeniania złośliwego oprogramowania w postaci niebezpiecznych aktualizacji firmware’u.
Według raportów, luka oznaczona jako CVE-2024-54143 posiada ocenę CVSS na poziomie 9.3 w skali do 10 punktów, co wskazuje na krytyczne zagrożenie. Została ona odkryta przez badacza bezpieczeństwa RyotęK z firmy Flatt Security i zgłoszona 4 grudnia 2024 roku. Luka ta została już załatana w wersji ASU 920c8a1.
Jak opisali to twórcy projektu, luka była wynikiem kombinacji dwóch czynników: możliwości wstrzyknięcia dowolnych poleceń na etapie budowy obrazu firmware’u oraz zastosowania skróconego, 12-znakowego hasha SHA-256 w żądaniach budowy. Dzięki temu atakujący mógł zmanipulować obraz firmware’u, powodując jego zanieczyszczenie złośliwym kodem poprzez dostarczenie odpowiednio spreparowanej listy pakietów.
System OpenWrt, będący bazującym na Linuksie projektem stworzonym z myślą o routerach, bramkach internetowych oraz innych urządzeniach wbudowanych, bywa często wybierany przez użytkowników i organizacje z całego świata ze względu na swoją elastyczność i otwartość. Jednak takie rozwiązania, mimo swoich zalet, niosą za sobą ryzyko podatności bezpieczeństwa, jeśli nie są regularnie aktualizowane.
Dalsze analizy wskazują, że udana próba wykorzystania odkrytej luki mogłaby pozwolić cyberprzestępcom na wstrzyknięcie dowolnych poleceń do procesu budowania aktualizacji. W efekcie mogłyby powstawać złośliwe obrazy firmware’u, które byłyby podpisane kluczem uznawanym za autentyczny. Co więcej, wykorzystanie 12-znakowego skrótu SHA-256 mogłoby umożliwić podstawienie wcześniej zbudowanego złośliwego obrazu zamiast oczekiwanej, legalnej wersji.
Według komunikatu OpenWrt, do skutecznego przeprowadzenia ataku wystarczyłoby przesłanie odpowiednio spreparowanego żądania budowy z listą pakietów. Co istotne, w tym przypadku nie było wymagane uwierzytelnianie użytkownika, co jeszcze bardziej zwiększało ryzyko potencjalnych ataków. W wyniku manipulacji żądaniami budowy atakujący mógł sprawić, że użytkownicy pobraliby złośliwy obraz firmware’u zamiast legalnej wersji, co mogło prowadzić do zagrożeń w zakresie łańcucha dostaw.
RyotaK, badacz odpowiedzialny za odkrycie, opublikował techniczny opis wady, podkreślając, że nie ma pewności, czy luka była kiedykolwiek aktywnie wykorzystywana przez osoby trzecie. Jak zauważył, problem ten istniał przez pewien czas, a jego wykrycie przyszło dopiero teraz. Twórcy projektu zachęcają wszystkich użytkowników do jak najszybszej aktualizacji systemu do najnowszej wersji, aby zminimalizować ryzyko potencjalnych ataków.
Podatności takie jak CVE-2024-54143 przypominają, jak ważne jest regularne monitorowanie aktualizacji oprogramowania oraz szybka reakcja w przypadku zgłoszenia luk bezpieczeństwa. W świecie coraz bardziej złożonych zagrożeń sieciowych ochrona systemów, nawet tak popularnych jak OpenWrt, wymaga zaangażowania zarówno użytkowników, jak i deweloperów.