Saldırganların kullanıcılara kötü amaçlı ürün yazılımı görüntüleri sunmasına olanak tanıyan bir güvenlik sorunu, gömülü cihazlar için popüler Linux dağıtımının geliştirilmesini yöneten kuruluş olan OpenWrt Project tarafından düzeltildi.
OpenWrt Hakkında
OpenWrt, çeşitli üreticiler tarafından sağlanan işletim sistemi/ürün yazılımı yerine öncelikle kablosuz ev yönlendiricileri için kullanılan, özelleştirilebilir bir işletim sistemidir.
Proje, “Tek, statik bir ürün yazılımı oluşturmaya çalışmak yerine OpenWrt, isteğe bağlı paket yönetimiyle tamamen yazılabilir bir dosya sistemi sağlıyor” diye övünüyor.
“Geliştiriciler için OpenWrt, eksiksiz bir ürün yazılımı görüntüsü ve bunun etrafında dağıtım oluşturmaya gerek kalmadan bir uygulama oluşturmak için bir çerçeve sağlıyor. Kullanıcılar için bu, yerleşik bir cihazın satıcının asla öngörmediği şekillerde kullanılmasına olanak tanıyan tam kişiselleştirme özgürlüğü anlamına geliyor.”
OpenWrt güvenlik sorunu
Güvenlik sorunu, OpenWrt tabanlı dağıtımlar için isteğe bağlı bir görüntü sunucusu olan OpenWrt’ın Attishedsysupgrade Sunucusunda (ASU) bulundu.
Sunucu hizmete güç verir (sysupgrade.openwrt.org) kullanıcıların, kendi cihazlarına ve istenen yazılım paketlerine göre yeni bir ürün yazılımı görüntüsü talep etmelerine olanak tanır. Görüntü oluşturulup teslim edildikten sonra OpenWrt (cihazdaki işletim sistemi) bunu uygular.
Sorun iki güvenlik açığından oluşuyor:
- Imagebuilder’a, kötü niyetli kullanıcıların ürün yazılımı oluşturma sürecine rastgele komutlar eklemesine (ve yasal oluşturma anahtarıyla imzalanmış kötü amaçlı yazılım görüntüleri oluşturmasına) olanak tanıyan bir komut enjeksiyonu.
- Bir SHA-256 karma çarpışma sorunu (CVE-2024-54143): Bir ürün yazılımı görüntüsü oluşturma isteğinin bir karması oluşturulur, ancak ne yazık ki sunucu bunu ilk 12 karaktere (64 karakterden) kısaltır ve bu da saldırganların izin verebilir. çarpışmalar yaratır.
“İstismar ederek [the hash collision issue]OpenWrt geliştiricisi Paul Spooren, projenin e-posta listesine gönderilen bir e-postada şöyle açıkladı: “Daha önce oluşturulmuş kötü amaçlı bir görüntü, meşru bir görüntü yerine sunularak saldırganın yapı önbelleğini ‘zehirlemesine’ ve güvenliği ihlal edilmiş görüntüleri şüphelenmeyen kullanıcılara teslim etmesine olanak tanır.”
Sorunu bulup OpenWrt geliştiricilerine özel olarak açıklayan güvenlik araştırmacısı Ry0taK (Flatt Security), bu iki sorunu birleştirmenin saldırganların iyi huylu ürün yazılımı görüntülerini önceden oluşturulmuş kötü amaçlı yazılımlarla değiştirmesine nasıl olanak sağlayabileceğini gösterdi.
Ne yapmalısın?
OpenWrt’tan Spooren şunları doğruladı:
- Sorun, resmi örnek dahil tüm ASU örneklerini etkiledi (sysupgrade.openwrt.org), “OpenWrt Buildbot’tan ayrı özel sunucularda çalışır ve herhangi bir mantıklı kaynağa (SSH Anahtarları, İmza Sertifikaları…) erişimi yoktur”
- Barındırılan resmi görsellerin hiçbiri downloads.openwrt.org 24.10.0-rc2’deki özel görüntüler de etkilenmedi
“Diğer özel görüntüler için mevcut derleme günlükleri kontrol edildi ve KÖTÜ İSTEK BULUNAMADI, ancak otomatik temizleme nedeniyle 7 günden daha eski hiçbir yapı kontrol edilemedi” diye ekledi.
“Görüntülerin tehlikeye girme olasılığı 0’a yakın olsa da, bundan etkilenme olasılığını ortadan kaldırmak için kullanıcıya aynı sürüme YÜKSELTME YAPMASI ÖNERİLİR.”
ASU’nun genel, kendi kendine barındırılan bir örneğini çalıştıran kullanıcılara bunu hemen güncellemeleri veya özetlenen iki işlemi uygulamaları önerilir.