OpenWrt’ın Katılımlı Sysupgrade’sinde bir güvenlik açığı açıklandı (ASU) özelliği başarıyla kullanılırsa, kötü amaçlı ürün yazılımı paketlerini dağıtmak için kötüye kullanılabilir.
Şu şekilde izlenen güvenlik açığı: CVE-2024-54143maksimum 10 üzerinden 9,3 CVSS puanı taşır ve kritik ciddiyeti gösterir. Flatt Güvenlik araştırmacısı RyotaK, kusuru 4 Aralık 2024’te keşfedip bildirdiği için itibar kazandı. Sorun şu tarihte yamalandı: ASU sürümü 920c8a1.
Proje sorumluları, “İmaj oluşturucu görüntüsündeki komut enjeksiyonu ve derleme isteği karmasında yer alan kesik SHA-256 karmasının birleşimi nedeniyle, bir saldırgan, karma çarpışmasına neden olan bir paket listesi sağlayarak meşru görüntüyü kirletebilir.” söz konusu bir uyarıda.
OpenWrt ağ trafiğini yönlendiren yönlendiriciler, konut ağ geçitleri ve diğer yerleşik cihazlar için popüler, açık kaynaklı, Linux tabanlı bir işletim sistemidir.
Eksikliğin başarılı bir şekilde kullanılması, bir tehdit aktörünün derleme sürecine rastgele komutlar eklemesine olanak tanıyarak, meşru derleme anahtarıyla imzalanmış kötü amaçlı ürün yazılımı görüntülerinin üretilmesine yol açabilir.
Daha da kötüsü, derleme anahtarıyla ilişkili 12 karakterlik bir SHA-256 karma çarpışması, meşru bir görüntü yerine önceden oluşturulmuş kötü amaçlı bir görüntü sunmak üzere silah haline getirilebilir ve bu da alt kullanıcılar için ciddi bir tedarik zinciri riski oluşturabilir.
OpenWrt, “Bir saldırganın hazırlanmış paket listeleri içeren derleme istekleri gönderme yeteneğine ihtiyacı var” dedi. “Güvenlik açıklarından yararlanmak için kimlik doğrulamaya gerek yok. Saldırgan, komutlar enjekte ederek ve karma çarpışmalara neden olarak, meşru derleme isteklerini önceden oluşturulmuş kötü amaçlı bir görüntüyü almaya zorlayabilir.”
RyotaK kim tedarik edilen Hatanın teknik analizinde, güvenlik açığının “bir süredir var olduğu” için vahşi ortamda istismar edilip edilmediğinin bilinmediği belirtildi. Potansiyel tehditlere karşı korunmak için kullanıcıların mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir.