OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)安全风险通告

主要观点总结

本文介绍了OpenWrt Attended SysUpgrade（ASU）的命令注入漏洞（CVE-2024-54143）及其影响。漏洞允许攻击者将任意命令注入构建过程，生成恶意固件镜像，并利用哈希碰撞技术覆盖合法缓存镜像，影响已交付版本的完整性。该漏洞已公开，建议用户尽快应用官方补丁进行修复。

关键观点总结

关键观点1: 漏洞概述

OpenWrt ASU存在命令注入漏洞和弱哈希漏洞，允许攻击者生成恶意固件镜像并覆盖合法缓存镜像。

关键观点2: 影响范围

影响OpenWrt/ASU版本低于920c8a1的系统，国内风险资产总数为184058个，关联IP总数为63299个，全球风险资产总数为231547个，关联IP总数为95488个。

关键观点3: 漏洞细节

攻击者可利用命令注入漏洞将任意命令注入构建过程；利用弱哈希漏洞使用恶意镜像覆盖合法缓存镜像。技术细节和PoC已公开。

关键观点4: 处置建议

用户应尽快应用官方补丁（下载地址：https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e）进行修复。同时，暂时停止使用ASU服务进行固件升级，直到确认服务已更新并修复了相关漏洞；手动验证固件镜像的完整性和来源。

文章预览

●  点击↑蓝字关注我们，获取更多安全风险通告 漏洞概述 漏洞名称 OpenWrt Attended SysUpgrade 命令注入漏洞 漏洞编号 QVD-2024-49743 ,CVE-2024-54143 公开时间 2024-12-06 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 8.1 威胁类型 命令执行 利用可能性 高 POC状态 已公开 在野利用状态 未发现 EXP状态 未公开 技术细节状态 已公开 危害描述： 攻击者可以利用命令注入漏洞将任意命令注入构建过程，生成恶意固件镜像。同时可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像，从而影响已交付版本的完整性。 0 1 漏洞详情 > > > > 影响组件 OpenWrt 是一款基于Linux的开源固件项目，专为嵌入式设备如路由器设计，提供高度的自定义性和扩展性。它允许用户构建定制化的固件镜像，并在升级过程中保留已有的安装包和设置，增强了设备的灵活性和功能性。OpenWrt/ASU（Attended ………………………………