12月10日消息,近日,开源路由系统OpenWrt被网络安全研究人员揭露存在一个严重的安全漏洞,该漏洞被分配了CVE-2024-54143编号,并获得了9.3/10的高风险评级(CVSS4.0)。
研究人员RyotaK在为自家路由器进行常规升级时发现了这个漏洞,它涉及到命令注入和哈希截断的问题。OpenWrt的Attended Sysupgrade服务允许用户定制固件映像,但该服务的服务器代码中存在不安全的make命令使用,导致了输入机制的缺陷,使得攻击者可以通过软件包名称执行任意命令。
此外,该服务使用的SHA-256哈希仅限于12个字符的缓存,相当于48位哈希,这使得暴力破解成为可能。攻击者可以利用Hashcat工具在RTX 4090显卡上修改固件,向用户提供恶意版本。
OpenWrt项目组在接到通报后迅速行动,仅在数小时内就完成了漏洞修复,并关闭了升级服务器以防止进一步的安全威胁。修复工作于2024年12月4日完成,并恢复了升级服务器的运行。
尽管OpenWrt团队表示,目前没有证据表明有人利用了该漏洞,且映像被破坏的可能性极低,但用户仍被建议下载新生成的映像以替换可能存在风险的旧映像。此外,对于使用第三方开发者提供的编译版本的用户,需要关注第三方开发者的更新动态,以便及时获取修复后的固件。
OpenWrt团队强调,尽管日志记录仅限于过去7天,但为了安全起见,用户应当执行就地升级替换,以消除潜在的安全风险。
- 谷歌被判22.5亿元天价赔偿背后:安卓数据暗箱操作的五年拉锯战
- HDC 2025:开发者搭上“鸿蒙快车”,鸿蒙生态加速前行
- HarmonyOS 6开发者Beta正式启动:打造无处不在的AI体验
- 马蜂窝发布夏季“旅行蜂向标”,进山、玩水、拥抱草原是最受关注的夏季玩法
- 饿了么灰测“悦享会员”加码用户体验,提供一系列专属优惠和个性化服务
- 启信宝2025奶茶趣味报告:奶茶企业5年激增140%,40万家共筑3500亿帝国
- 《黑神话:悟空》PS5国行版将于6月18日正式发售,建议零售价268元起
- 报告:2029年美国AI搜索广告支出将达260亿美元,占比13.6%
- 重塑内生安全体系 实现AI时代安全突围 ——2025北京网络安全大会(BCS)开幕
- 覆盖上百国家!启信慧眼全球供应链“风险地图”助力中企安全“出海”
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
