本周,OpenWrt 项目报告了围绕其 Attendedsysupgrade Server (ASU) 实例的安全问题,该问题可能导致提供受损的固件映像。
好消息是,据信 downloads.openwrt.org 的官方映像和 21.10.0-rc2 版本的任何自定义映像都没有受到影响。由于自动清理了较旧的构建日志,OpenWrt 开发人员只能验证过去 7 天的构建日志。因此,鼓励用户对同一版本进行就地升级,以消除任何受到影响的可能性。
Attendedsysupgrade 服务器安全问题归结为两个问题的组合,即截断的 SHA-256 哈希和映像生成器中的命令注入向量。
周五邮件列表披露的问题解释了:
“由于’openwrt/imagebuilder’镜像中的命令注入和构建请求哈希中包含的截断 SHA-256 哈希值相结合,攻击者可以通过提供导致哈希冲突的包列表来污染合法镜像。该问题包括两个主要部分:
1. **Imagebuilder 中的命令注入**:在映像构建期间,用户提供的包名称被合并到“make”命令中,而没有进行适当的清理。这允许恶意用户将任意命令注入构建过程,从而产生使用合法构建密钥签名的恶意固件映像。
2. **截断的 SHA-256 哈希冲突**:请求哈希机制将 SHA-256 哈希截断为仅 12 个字符。这大大降低了熵,使攻击者能够生成冲突。通过利用这一点,可以提供以前构建的恶意图像来代替合法图像,从而允许攻击者“毒害”构件缓存并将受损的图像提供给毫无戒心的用户。
这些漏洞结合在一起,使攻击者能够通过 ASU 服务提供受损的固件映像,从而影响交付的构建的完整性。
…
攻击者可以破坏从 sysupgrade.openwrt.org 交付的构建工件,从而允许将恶意固件映像安装到使用有人值守固件升级、firmware-selector.openwrt.org 或 CLI 升级的 OpenWrt 安装中。
安全公告 2024-12-06-1 中提供了更多信息。安全修复程序是更正用户输入验证并使用全长 SHA-256 哈希。
转自 OpenWrt Affected By Security Issue That Could Have Led To Compromised Build Artifacts – Phoronix