Router attack

カスタム・オンデマンド・ファームウェア・イメージの構築に使用される OpenWrt の Attended Sysupgrade 機能に欠陥があり、悪意のあるファームウェア・パッケージの配布を許していた可能性がある。

OpenWrtは、高度にカスタマイズ可能なオープンソースのLinuxベースのオペレーティング・システムで、組み込みデバイス、特にルーター、アクセス・ポイント、その他のIoTハードウェアなどのネットワーク・デバイス向けに設計されている。このプロジェクトは、数多くの高度な機能を提供し、ASUS、Belkin、Buffalo、D-Link、Zyxelなどのルーターをサポートしているため、メーカーのファームウェアに代わるものとして人気がある。

コマンドインジェクションとハッシュの切り捨ての欠陥は、Flatt Securityの研究者「RyotaK」によって、ホームラボのルーターの定期的なアップグレード中に発見された。

CVE-2024-54143として追跡されているこの重大な欠陥(CVSS v4スコア:9.3)は、OpenWrtの開発者に公開されてから数時間以内に修正されました。しかし、ユーザは、インストールしたファームウェアの安全性を確保するために、チェックを行うよう促されている。

OpenWrt イメージの汚染

OpenWrt には、Attended Sysupgradeと呼ばれるサービスが含まれており、ユーザは、以前にインストールされたパッケージと設定を含む、カスタム・オンデマンド・ファームウェア・ビルドを作成することができます。

“Attended SysUpgrade (ASU) “機能によって、OpenWrt デバイスは、パッケージと設定を保持したまま、新しいファームウェアにアップデートすることができます。これは、アップグレードプロセスを劇的に簡素化します。2、3回クリックして少し待つだけで、以前のすべてのパッケージでビルドされた新しいイメージを取得し、インストールすることができます」とOpenWrtのサポートページは説明しています。

「ASUを使えば、手動でインストールしたパッケージのリストを作ったり、ファームウェアをアップグレードするためにopkgと格闘したりする必要がなくなります。

RyotaK氏は、sysupgrade.openwrt.orgサービスが、コンテナ化された環境で実行されるコマンドを介してこれらの入力を処理していることを発見した。

サーバコード内の ‘make’ コマンドの安全でない使い方に由来する入力処理メカニズムの欠陥により、パッケージ名を経由した任意のコマンドインジェクションが可能になっています。

RyotaK氏が発見した2つ目の問題は、同サービスがビルドアーティファクトのキャッシュに12文字のSHA-256ハッシュを使用しており、ハッシュが48ビットに制限されていることだ。

研究者は、これによってブルート・フォース・コリジョンが実行可能になり、攻撃者が正当なファームウェアのビルドで見つかったキャッシュ・キーを再利用するリクエストを作成できるようになると説明している。

この2つの問題を組み合わせ、RTX 4090グラフィックスカード上でHashcatツールを使用することで、RyotaK氏は、ファームウェアアーティファクトを変更し、疑うことを知らないユーザーに悪意のあるビルドを配信することが可能であることを実証した。

Python script used for overwriting legitimate firmware builds
Source:Flatt Security

ルーターをチェックする

OpenWrt チームは、RyotaK 氏の個人的な報告に即座に対応し、sysupgrade.openwrt.org サービスを停止し、修正プログラムを適用し、2024 年 12 月 4 日の 3 時間で復旧させた。

チームは、誰かがCVE-2024-54143を悪用した可能性は極めて低く、この脆弱性がdownloads.openwrt.orgの画像に影響を与えたという証拠は見つかっていないと述べています。

しかし、彼らは過去7日間に起こったことしか把握していないため、現在デバイスにロードされている潜在的に安全でないイメージを置き換えるために、新しく生成されたイメージをインストールすることが推奨されています。

“他のカスタムイメージのビルドログを確認したところ、不正なリクエストは見つかりませんでしたが、自動クリーンアップのため、7日以上前のビルドは確認できませんでした。影響を受けたサーバはリセットされ、ゼロから再実行されます。

“侵害されたイメージの可能性は限りなく0に近いですが、この影響を受ける可能性を排除するために、同じバージョンにアップグレードすることをお勧めします。ASUのパブリックなセルフホスト・インスタンスを実行している場合は、直ちにアップデートしてください。”

この問題はしばらく前から存在していたため、期限はありません。