Vulnerabilitate critică în OpenWrt ce expune dispozitivele

A fost dezvăluită o vulnerabilitate de securitate în funcția Attended Sysupgrade (ASU) a OpenWrt care, dacă ar fi exploatată cu succes, ar putea fi folosită în mod abuziv pentru a distribui pachete de firmware malițioase.

Vulnerabilitatea, urmărită ca CVE-2024-54143, are un scor CvSS de 9,3/10 și un grad de severitate critic. Aceasta a fost remediată în versiunea ASU 920c8a1.

OpenWrt este un sistem de operare popular open-source bazat pe Linux pentru routere, gateway-uri rezidențiale și alte dispozitive integrate care direcționează traficul de rețea.

Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator să injecteze comenzi arbitrare în procesul de compilare, determinând astfel generarea de imagini de firmware malițioase semnate cu cheia de compilare legitimă.

Chiar mai rău, o coliziune hash SHA-256 de 12 caractere asociată cu cheia de compilare ar putea fi folosită ca instrument pentru a furniza o imagine malițioasă compilată anterior în locul uneia legitime.

Utilizatorilor li se recomandă să actualizeze la cea mai recentă versiune cât mai curând posibil pentru a se proteja împotriva potențialelor amenințări.

Sursă: https://thehackernews.com/2024/12/critical-openwrt-vulnerability-exposes.html