L’OpenWrt è una distribuzione Linux personalizzabile e aperta, utilizzata principalmente per router wireless e dispositivi IoT. La comunità OpenWrt ha recentemente annunciato un aggiornamento di sicurezza cruciale per proteggere gli utenti da un potenziale attacco alla catena di fornitura. In questo articolo, esploreremo i dettagli di questo aggiornamento, i rischi associati e forniremo consigli pratici per mantenere la tua rete sicura.
Il problema di sicurezza
Il problema di sicurezza riguarda l’Attended Sysupgrade Server (ASU) di OpenWrt, un servizio che consente agli utenti di creare immagini di firmware personalizzate in base alle loro esigenze specifiche. Tuttavia, è stato scoperto un difetto critico che potrebbe permettere agli attaccanti di iniettare comandi arbitrari nel processo di costruzione del firmware, creando immagini di firmware maliziose firmate con una chiave di costruzione legittima.
Il difetto consiste in due vulnerabilità principali:
- Iniezione di comandi: Il server ASU non sanitizza adeguatamente i nomi dei pacchetti forniti dagli utenti, permettendo agli attaccanti di eseguire comandi arbitrari.
- Collisione di hash SHA-256: Il server tronca il hash SHA-256 delle richieste di costruzione dell’immagine a 12 caratteri, riducendo significativamente la sua complessità e facendo possibile la generazione di collisioni.
Impatto e soluzione
Il difetto potrebbe permettere agli attaccanti di sostituire immagini di firmware legittime con immagini maliziose, compromettendo l’integrità dei costrutti del firmware. Tuttavia, l’OpenWrt ha immediatamente risposto al problema, prendendo in esame le richieste di sicurezza e applicando un fix al server ASU.
Consigli per gli utenti:
- Aggiornamento immediato: Gli utenti sono consigliati a eseguire un aggiornamento immediato alla versione corrente per eliminare qualsiasi possibilità di essere colpiti da questo difetto.
- Verifica delle immagini: Sebbene sia improbabile che gli immagini siano state compromesse, è sempre meglio verificare che l’immagine di firmware attualmente caricata non sia stata sostituita da una versione malizia.
- Utilizzo di un’immagine generata nuovamente: Se possibile, installare un’immagine di firmware generata nuovamente per sostituire qualsiasi immagine potenzialmente compromessa.
Precauzioni aggiuntive
Per gli utenti che gestiscono un’istanza pubblica o auto-hostata del servizio ASU, è essenziale aggiornare immediatamente il server o applicare i due commit specifici descritti nell’avviso di sicurezza di OpenWrt.
L’aggiornamento di sicurezza di OpenWrt è un passo cruciale per proteggere la comunità degli utenti da un potenziale attacco alla catena di fornitura. Seguendo i consigli forniti in questo articolo, gli utenti possono mantenere la loro rete sicura e garantire che il loro router OpenWrt continui a funzionare in modo affidabile e sicuro.
Fonte: https://www.helpnetsecurity.com/2024/12/09/openwrt-security-update-supply-chain-attack
