ГлавнаяБаза уязвимостей БДУ → BDU:2024-10959
10критическая

BDU:2024-10959

Уязвимость функционала Attended SysUpgrade сервиса sysupgrade.openwrt.org встраиваемой операционной системы OpenWrt, позволяющая нарушителю сформировать специальный вредоносный образ, подписанный легитимным ключом
Опубликовано: 2024-12-11
Описание

Уязвимость функционала Attended SysUpgrade сервиса sysupgrade.openwrt.org встраиваемой операционной системы OpenWrt связана с использованием обратимой односторонней хэш-функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, сформировать специальный вредоносный образ, подписанный легитимным ключом

Затрагиваемое ПО и версии
OpenWrt (до 920c8a1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки образов микропрограммного обеспечения;
- использование изолированной программной среды для тестирования и проверки образов микропрограммного обеспечения;
- загрузка обновлений микропрограммного обеспечения из доверенных источников.

Использование рекомендаций:
https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87ehttps://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7qhttps://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/
Проверьте безопасность своего сайта и почты → Полная проверка домена