OpenWrt’ın Katılımlı Sistem Yükseltme (ASU) özelliğinde, başarılı bir şekilde yararlanılması durumunda kötü amaçlı ürün yazılımı paketlerini dağıtmak için kötüye kullanılabilecek bir güvenlik açığı açıklandı.
CVE-2024-54143 olarak takip edilen güvenlik açığı, kritik ciddiyeti gösteren maksimum 10 üzerinden 9,3 CVSS puanına sahip. Flatt Güvenlik araştırmacısı RyotaK, kusuru 4 Aralık 2024’te keşfedip rapor ettiğine itibar edildi. Sorun, ASU’nun 920c8a1 sürümünde yamalı hale getirildi.
Proje yöneticileri, “Görüntü oluşturucu görüntüsündeki komut enjeksiyonu ve derleme isteği karmasında yer alan kesik SHA-256 karmasının birleşimi nedeniyle, bir saldırgan, karma çarpışmasına neden olan bir paket listesi sağlayarak meşru görüntüyü kirletebilir” dedi. bir uyarıda.
OpenWrt, yönlendiriciler, konut ağ geçitleri ve ağ trafiğini yönlendiren diğer yerleşik cihazlar için popüler, açık kaynaklı, Linux tabanlı bir işletim sistemidir.
Eksikliğin başarılı bir şekilde kullanılması, bir tehdit aktörünün derleme sürecine rastgele komutlar eklemesine olanak tanıyarak, meşru derleme anahtarıyla imzalanmış kötü amaçlı yazılım görüntülerinin üretilmesine yol açabilir.
Daha da kötüsü, derleme anahtarıyla ilişkili 12 karakterlik bir SHA-256 karma çarpışması, meşru bir görüntü yerine önceden oluşturulmuş kötü amaçlı bir görüntü sunmak üzere silah haline getirilebilir ve bu da alt kullanıcılar için ciddi bir tedarik zinciri riski oluşturabilir.
OpenWrt, “Bir saldırganın hazırlanmış paket listeleri içeren derleme istekleri gönderme yeteneğine ihtiyacı var” dedi. “Güvenlik açıklarından yararlanmak için kimlik doğrulamaya gerek yok. Saldırgan, komutlar enjekte ederek ve karma çarpışmalara neden olarak, meşru derleme isteklerini önceden oluşturulmuş kötü amaçlı bir görüntüyü almaya zorlayabilir.”
Hatanın teknik bir analizini sunan RyotaK, güvenlik açığının “bir süredir mevcut” olması nedeniyle bu güvenlik açığından yararlanılıp yararlanılmadığının bilinmediğini söyledi. Potansiyel tehditlere karşı korunmak için kullanıcıların mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir.