开源路由系统OpenWrt紧急修复高危安全漏洞,用户需尽快更新升级以防攻击
【TechWeb】12月10日消息,近日,开源路由系统OpenWrt被网络安全研究人员揭露存在一个严重的安全漏洞,该漏洞被分配了CVE-2024-54143编号,并获得了9.3/10的高风险评级(CVSS4.0)。
研究人员RyotaK在为自家路由器进行常规升级时发现了这个漏洞,它涉及到命令注入和哈希截断的问题。OpenWrt的Attended Sysupgrade服务允许用户定制固件映像,但该服务的服务器代码中存在不安全的make命令使用,导致了输入机制的缺陷,使得攻击者可以通过软件包名称执行任意命令。
此外,该服务使用的SHA-256哈希仅限于12个字符的缓存,相当于48位哈希,这使得暴力破解成为可能。攻击者可以利用Hashcat工具在RTX 4090显卡上修改固件,向用户提供恶意版本。
OpenWrt项目组在接到通报后迅速行动,仅在数小时内就完成了漏洞修复,并关闭了升级服务器以防止进一步的安全威胁。修复工作于2024年12月4日完成,并恢复了升级服务器的运行。
尽管OpenWrt团队表示,目前没有证据表明有人利用了该漏洞,且映像被破坏的可能性极低,但用户仍被建议下载新生成的映像以替换可能存在风险的旧映像。此外,对于使用第三方开发者提供的编译版本的用户,需要关注第三方开发者的更新动态,以便及时获取修复后的固件。
OpenWrt团队强调,尽管日志记录仅限于过去7天,但为了安全起见,用户应当执行就地升级替换,以消除潜在的安全风险。
相关阅读
- 对于"信用卡养卡"武昌中南的小编接下来就为大家介绍几招小技巧。
- 苹果跟OpenAI搞在一起 马斯克怎么就破防了
- 外媒:中国新电商平台正走向全球 要将“世界工厂”变“世界购物中心”
- 苹果 iOS / iPadOS 17.4 及后续版本新特性,第三方 App 支持系统翻译
- 特斯拉柏林超级工厂6.5万个马克杯失踪:投产以来平均每天丢77个
- 欢天喜地:武汉线下套花呗微信分期分付具体步骤,(30秒拿钱堪称业界标杆)
- 雷克沙推出NM1090 PCIe 5.0 SSD RGB散热售1599元起
- 豪捐149亿,“中国首善”刘强东
- 落后华为两年半!苹果Apple Watch Ultra 3将支持卫星消息
- 小米汽车:YU7 SUV 车型早公告是为进行更严密道路测试验证,如更最精准的 NVH 验证、能耗 / 综合耐久测试等