开源路由系统OpenWrt紧急修复高危安全漏洞,用户需尽快更新升级以防攻击
【TechWeb】12月10日消息,近日,开源路由系统OpenWrt被网络安全研究人员揭露存在一个严重的安全漏洞,该漏洞被分配了CVE-2024-54143编号,并获得了9.3/10的高风险评级(CVSS4.0)。
研究人员RyotaK在为自家路由器进行常规升级时发现了这个漏洞,它涉及到命令注入和哈希截断的问题。OpenWrt的Attended Sysupgrade服务允许用户定制固件映像,但该服务的服务器代码中存在不安全的make命令使用,导致了输入机制的缺陷,使得攻击者可以通过软件包名称执行任意命令。
此外,该服务使用的SHA-256哈希仅限于12个字符的缓存,相当于48位哈希,这使得暴力破解成为可能。攻击者可以利用Hashcat工具在RTX 4090显卡上修改固件,向用户提供恶意版本。
OpenWrt项目组在接到通报后迅速行动,仅在数小时内就完成了漏洞修复,并关闭了升级服务器以防止进一步的安全威胁。修复工作于2024年12月4日完成,并恢复了升级服务器的运行。
尽管OpenWrt团队表示,目前没有证据表明有人利用了该漏洞,且映像被破坏的可能性极低,但用户仍被建议下载新生成的映像以替换可能存在风险的旧映像。此外,对于使用第三方开发者提供的编译版本的用户,需要关注第三方开发者的更新动态,以便及时获取修复后的固件。
OpenWrt团队强调,尽管日志记录仅限于过去7天,但为了安全起见,用户应当执行就地升级替换,以消除潜在的安全风险。
相关阅读
- 大众集团将推迟发布多款电动汽车,软件成主要绊脚石
- 武汉武昌区信用卡取现代还“以卡养卡”的操作细节:额度从4000涨到17万只用3个月【6月最新攻略】
- 马斯克律师称若 OpenAI 放弃营利性转型,将撤回 974 亿美元收购要约
- 苹果救不了台积电,但英伟达可以
- 美国医保系统早已崩溃!行业高管:CEO枪击案敲响行业警钟
- 一手!武汉硚口K11这家套京东白条当面换现金完整流程(新手必须知道的方法)
- 与联通、华为联合打造 长安汽车数智工厂正式挂牌:首车已量产下线
- 三星 Galaxy Xcover 8 Pro 坚固型手机电池曝光:4350 mAh,可拆卸设计
- 董宇辉扛下了一切
- 智能手机销量大增,国家补贴激发市场活力