OpenWrt设备中 attended.sysupgrade服务存在严重漏洞

12月6日，OpenWrt发布了一份安全公告，表示其attended.sysupgrade服务存在严重的漏洞（CVE-2024-54143）。研究员RyotaK在家庭实验室路由器升级过程中发现了这一漏洞，并给予了9.3的CVSS评分。该漏洞影响范围广泛，包括使用在线固件升级、firmware-selector.openwrt.org或attended.sysupgrade CLI升级的设备。

据了解，这个漏洞的产生源于两个主要问题：Imagebuilder中的命令注入和attended.sysupgrade服务的请求哈希机制。在Imagebuilder中，攻击者可以在构建镜像时提交包含恶意命令的软件包列表，从而将任意命令注入构建过程，导致生成的固件镜像即使使用合法密钥签名也能植入恶意代码。而在attended.sysupgrade服务中，其请求哈希机制将SHA-256哈希值截断为仅12个字符，这使得攻击者能够轻松制造哈希碰撞。

根据官方声明，目前没有证据表明downloads.openwrt.org提供的镜像受到影响，但由于可见性限制，在建议用户安装新生成的镜像以替换可能存在风险的固件之前，请务必将所有操作记录在案。同时，请尽快更新系统以保障设备安全。

值得注意的是，在OpenWrt团队发布的补丁中修复了这个漏洞，并强烈建议用户尽快进行系统更新。