OpenWrt Attended SysUpgrade命令注入漏洞CVE-2024-54143

OpenWrt是一款基于Linux的嵌入式操作系统，专为路由器和其他网络设备设计，允许用户自定义路由设备，从而可以适应任何应用程序。

OpenWrt高度模块化和自动化，拥有强大网络组件和扩展性，可用于工控设备、电话、小型机器人、智能家居、路由器以及VOIP设备中。

一、基本情况

OpenWrt/ASU是OpenWrt一个开源项目，用于提供 Attended SysUpgrade（ASU）功能，旨在为OpenWrt系统提供自动化软件更新服务。

该项目由OpenWrt社区维护，可用于软件包的自动检测、下载和安装，创建定制OpenWrt固件镜像，在升级过程中保留已有安装包和设置。

Attended SysUpgrade（ASU）这一开源项目的目标是简化系统维护过程，确保设备始终运行最新的软件版本，从而提高安全性和稳定性。

栋科技漏洞库关注到OpenWrt Attended SysUpgrade（ASU）功能命令注入漏洞和哈希截断漏洞，追踪CVE-2024-54143，CVSS评分9.3。

二、漏洞分析

CVE-2024-54143漏洞是OpenWrt Attended SysUpgrade（ASU）功能存在的一个命令注入漏洞和哈希截断问题，漏洞技术细节已被公开。

Imagebuilder命令注入漏洞：这是由于在镜像构建过程中，用户提供的软件包名称未经过适当处理就被合并到make命令中导致注入漏洞。

如此一来，该漏洞就可能导致恶意行为攻击者通过将任意命令注入到构建的过程，从而因此会生成使用合法构建密钥签名的恶意固件镜像。

SHA-256 哈希截断问题：OpenWrt/ASU是一个基于openwrt发行版的按需镜像服务器，请求哈希机制将SHA-256哈希截断为仅12个字符。

因此请求哈希机制将 SHA-256 哈希截断为仅 12个字符（48 比特熵），这就大大降低了熵，导致攻击者产生哈希碰撞的可能性显著增加。

通过利用这一点，攻击者可以利用哈希碰撞技术，用恶意固件镜像覆盖合法缓存镜像并冒充成为合法固件，然后伪装在缓存中分发给用户。

比如说，攻击者也这可能与其他攻击结合在一起，例如Imagebuilder中的命令注入，这就使得恶意用户可以将任意命令注入到构建过程中。

然后攻击者就可以生成一个使用合法构建密钥签名的恶意固件映像，再通过各种途径等待或者是诱导受害者下载使用，具体而言步骤如下：

攻击者通过篡改 sysupgrade.openwrt.org 服务生成固件镜像，用户通过ASU、Firmware Selector 或 CLI升级等途径下载并安装恶意固件。

如此一来，设备可能被攻击者完全控制，从而可能导致拦截或篡改网络流量、窃取设备敏感信息或者是发起进一步的攻击，后果可想而知。

三、影响范围

openwrt/asu < 920c8a1

四、修复建议

该漏洞已通过920c8a1提交进行了修复，受影响用户可将openwrt/asu服务升级到修复版本或应用补丁以缓解该漏洞。

五、参考链接

https://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/

https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q