O projeto OpenWrt, que desenvolve um sistema operacional baseado em Linux para dispositivos embarcados, lançou um patch de emergência para corrigir vulnerabilidades graves no servidor de atualização de firmware sysupgrade. Essas falhas, identificadas como a CVE-2024-54143 (CVSS 9,3), expõem os usuários ao risco de instalação de imagens de firmware comprometidas caso as atualizações não sejam aplicadas.
Leia também
US$ 10 Mi pelo hacker de 81 mil firewalls
I.A. já é foco de 10% dos ethical hackers
Segundo o boletim divulgado, o problema decorre de dois erros fundamentais. O primeiro é uma vulnerabilidade de injeção de comando no Imagebuilder, que permite que pacotes personalizados fornecidos por usuários sejam incorporados diretamente nos comandos de construção sem higienização adequada. Isso abre a possibilidade de injetar comandos arbitrários no processo, resultando em imagens de firmware maliciosas assinadas com a chave de construção legítima. O segundo problema está relacionado ao uso de hashes SHA-256 truncados a apenas 12 caracteres, o que reduz significativamente a entropia e facilita a criação de colisões. Essa falha pode ser explorada para substituir imagens legítimas por versões comprometidas.
Essas vulnerabilidades, quando combinadas, permitem que invasores entreguem imagens de firmware adulteradas por meio do serviço Attended SysUpgrade, comprometendo a integridade do processo de atualização. Embora o OpenWrt tenha informado que nenhuma imagem oficial do downloads.openwrt.org foi comprometida, o risco persiste em imagens personalizadas geradas por solicitações maliciosas no serviço.
Diante da gravidade da situação, os desenvolvedores recomendam que todos os usuários realizem atualizações locais para a mesma versão do firmware como medida preventiva. Operadores de instâncias públicas ou auto-hospedadas do Attended SysUpgrade também devem aplicar os patches imediatamente para evitar exploração futura. Os mantenedores afirmaram que os logs de compilação analisados até agora não revelaram atividades maliciosas, mas a aplicação das correções é essencial para garantir a segurança e a confiabilidade do sistema.