开源路由系统OpenWrt紧急修复高危安全漏洞,用户需尽快更新升级以防攻击
【TechWeb】12月10日消息,近日,开源路由系统OpenWrt被网络安全研究人员揭露存在一个严重的安全漏洞,该漏洞被分配了CVE-2024-54143编号,并获得了9.3/10的高风险评级(CVSS4.0)。
研究人员RyotaK在为自家路由器进行常规升级时发现了这个漏洞,它涉及到命令注入和哈希截断的问题。OpenWrt的Attended Sysupgrade服务允许用户定制固件映像,但该服务的服务器代码中存在不安全的make命令使用,导致了输入机制的缺陷,使得攻击者可以通过软件包名称执行任意命令。
此外,该服务使用的SHA-256哈希仅限于12个字符的缓存,相当于48位哈希,这使得暴力破解成为可能。攻击者可以利用Hashcat工具在RTX 4090显卡上修改固件,向用户提供恶意版本。
OpenWrt项目组在接到通报后迅速行动,仅在数小时内就完成了漏洞修复,并关闭了升级服务器以防止进一步的安全威胁。修复工作于2024年12月4日完成,并恢复了升级服务器的运行。
尽管OpenWrt团队表示,目前没有证据表明有人利用了该漏洞,且映像被破坏的可能性极低,但用户仍被建议下载新生成的映像以替换可能存在风险的旧映像。此外,对于使用第三方开发者提供的编译版本的用户,需要关注第三方开发者的更新动态,以便及时获取修复后的固件。
OpenWrt团队强调,尽管日志记录仅限于过去7天,但为了安全起见,用户应当执行就地升级替换,以消除潜在的安全风险。
相关阅读
- 苹果4款新机齐曝光 iPhone SE4配置太感人
- 华为Pura 80系列将配备双层OLED:更高亮度和更丰富的色彩表现
- 磨铁创始人开撕京东,图书低价促销伤了谁?
- 送问界M9、独栋豪宅等:京东因春晚超额大奖被罚5万元!
- 苹果MacBook或引入3D芯片堆叠技术 体积更小性能更强
- 重新回归手机发布会 小米折叠屏新品雷军主讲
- 今年智能手机所需可折叠屏有望出货超过3000万块 预计明年会更高
- 纯血鸿蒙版华为浏览器 App 获 5.0.6.301 版本升级:支持简洁主页添加自定义网址、书签 / 历史搜索等功能
- 安安稳稳!武汉天地套京东白条加油额度这么简单线下交易(一手商家无中介收费)
- 武汉新洲区信用卡多机器养卡当面代还哪里有:2024年最新提现地址及注意事项