12月10日消息,近日,开源路由系统OpenWrt被网络安全研究人员揭露存在一个严重的安全漏洞,该漏洞被分配了CVE-2024-54143编号,并获得了9.3/10的高风险评级(CVSS4.0)。
研究人员RyotaK在为自家路由器进行常规升级时发现了这个漏洞,它涉及到命令注入和哈希截断的问题。OpenWrt的Attended Sysupgrade服务允许用户定制固件映像,但该服务的服务器代码中存在不安全的make命令使用,导致了输入机制的缺陷,使得攻击者可以通过软件包名称执行任意命令。
此外,该服务使用的SHA-256哈希仅限于12个字符的缓存,相当于48位哈希,这使得暴力破解成为可能。攻击者可以利用Hashcat工具在RTX 4090显卡上修改固件,向用户提供恶意版本。
OpenWrt项目组在接到通报后迅速行动,仅在数小时内就完成了漏洞修复,并关闭了升级服务器以防止进一步的安全威胁。修复工作于2024年12月4日完成,并恢复了升级服务器的运行。
尽管OpenWrt团队表示,目前没有证据表明有人利用了该漏洞,且映像被破坏的可能性极低,但用户仍被建议下载新生成的映像以替换可能存在风险的旧映像。此外,对于使用第三方开发者提供的编译版本的用户,需要关注第三方开发者的更新动态,以便及时获取修复后的固件。
OpenWrt团队强调,尽管日志记录仅限于过去7天,但为了安全起见,用户应当执行就地升级替换,以消除潜在的安全风险。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- TechWeb一周热点汇总:特斯拉下月量产改款Model Y,阿里“甩卖”银泰
- 蔚来第三品牌firefly萤火虫首款车型正式亮相 预售价14.88万元
- 首发线控转向等多项技术 蔚来旗舰车型ET9正式上市:78.8万元起
- Fortinet李宏凯:2025年在中国大陆启动SASE PoP节点部署 助力企业出海
- Fortinet李宏凯:2024年Fortinet全球客户已超80万
- 网信办:从严打击网上侵害未成年人合法权益行为
- 豆包大模型全面升级,相关概念股疯涨,字节发布紧急警示
- TechWeb微晚报:“小红书封号”冲上热搜,小米YU7无伪装实车首次曝光
- “小米SU7坠崖一家四口安然无恙”冲上热搜 车主回应
- 奇富科技发布AI产品小奇等金融AI大模型成果
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
