Critical OpenWrt Flaw Exposes Firmware Update Server to Exploitation
2024/12/09 SecurityWeek — OpenWrt プロジェクトは、Linux ベースの OS を組み込みデバイス向けに提供する OSS イニシアチブである。その OpenWrt がリリースしたのは、ファームウェア更新サーバを悪意のある攻撃にさらす可能性にある、深刻な脆弱性に対するパッチである。この脆弱性 CVE-2024-54143 は、OpenWrt sysupgrade サーバに影響を及ぼし、侵害されたファームウェア・イメージをユーザーにインストールさせるという、潜在的なリスクを生み出している。
OpenWrt のアドバイザリには、「Imagebuilder におけるコマンド・インジェクションと、ビルド・リクエスト・ハッシュに含まれる切り捨てられた SHA-256 ハッシュの組み合わせにより、攻撃者はハッシュ衝突を引き起こすパッケージ・リストを提供できる。それにより、正当なイメージに対する汚染が成立する」と記されている。
メンテナーたちは、主な問題について、以下のように文書化している:
- Imagebuilder のコマンド・インジェクション:ユーザーが指定したパッケージ名に対して、適切なサニタイズが行われることなく
makeコマンドに組み込まれるため、ビルド・プロセスに対する、悪意のユーザーによる任意のコマンド挿入が可能になる。その結果として、正当なビルド・キーで署名された、悪意のファームウェア・イメージが生成される。 - 切り捨てられた SHA-256 ハッシュ衝突:リクエスト・ハッシュ・メカニズムは SHA-256 ハッシュを 12 文字に切り詰めるため、エントロピーが大幅に減少し、攻撃者による衝突の生成が可能なる。この問題を悪用することで、以前にビルドされた悪意のイメージが正当なイメージへと置き換えられ、アーティファクト・キャッシュが侵害される。
OpenWrt の警告は、「これらの脆弱性を組み合わせる攻撃者は、Attended SysUpgrade サービスを介して、侵害されたファームウェア・イメージを提供し、配信されるビルドの整合性に影響を与えられる。 続いて攻撃者は、”sysupgrade.openwrt.org” を介して配信されたビルド・アーティファクトを侵害できるため、人手によるファームウェア・アップグレード・プロセス中に、悪意のファームウェアのインストールが起こり得る」と記されている。
OpenWrt は、「攻撃者にとって必要なことは、細工されたパッケージ リストを含むビルド・リクエストを、送信するための能力である。その一方で、これらの脆弱性を悪用するための認証は不要である。コマンドを挿入してハッシュ衝突を引き起こすだけで、正当なイメージの代わりに、悪意のイメージの提供が可能になる」と述べている。
OpenWrt は、イメージが侵害される可能性は低いと考えているようだ。しかし、ユーザーに対するアドバイスは、ファームウェアへのインプレース・アップグレードを実行し、リスクを排除してほしいというものだ。
パブリックおよびセルフホストの、ASU インスタンスに関して推奨されるのは、速やかなパッチの適用により、将来の悪用を防ぐことである。プロジェクトのメンテナーたちは強調するのは、”downloads.openwrt.org” の公式イメージが、この問題の影響を受けていないことである。また、他のカスタム・イメージの、利用可能なビルドログもチェックされているとしている。
このブログでは初登場の OpenWrt ですが、Mediatek 関連の記事で名前を見たことがありますので、組み込み用の Linux として実績を上げているのでしょう。ご利用のチームは、ご注意ください。よろしければ、OpenWrt + Mediatek で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.