Cette faille dans OpenWrt Sysupgrade permet à un pirate de distribuer des firmwares malveillants !
L'une des fonctionnalités d'OpenWrt contient une faille de sécurité pouvant permettre à un attaquant de distribuer des images systèmes infectées sur les appareils OpenWrt. Faisons le point.
Pour rappel, OpenWrt est une distribution open source basée sur Linux qui embarque toutes les fonctionnalités nécessaires pour jouer le rôle de routeur et de point d'accès sans-fil. C'est un système d'exploitation léger conçu pour être installé sur les appareils prêts à l'emploi. OpenWrt peut d'ailleurs est installé sur certains appareils de chez ASUS, Buffalo, D-Link ou encore Zyxel, afin de remplacer le firmware d'origine. Il est notamment apprécié par les amateurs de Home Lab.
Découverte par un chercheur en sécurité de chez Flatt Security, cette vulnérabilité associée à la référence CVE-2024-54143 est considérée comme critique. En effet, son score CVSS v4 est très élevé : 9.3 sur 10. Elle se situe dans la fonctionnalité Attended Sysupgrade (ASU) d'OpenWRT. Celle-ci permet à l'utilisateur de créer des images de firmware personnalisées, en intégrant notamment des paramètres et des paquets personnalisés.
"La fonction Attended SysUpgrade (ASU) permet à un appareil OpenWrt d'être mis à jour avec un nouveau micrologiciel tout en préservant les paquets et les paramètres.", peut-on lire sur le site d'OpenWrt. Une fonctionnalité très pratique ! Vous pouvez en savoir plus sur cette vulnérabilité via cette page.
Attention aux images OpenWrt empoisonnées
Le chercheur en sécurité a découvert que le service sysupgrade.openwrt.org utilise des commandes dans un environnement conteneurisé pour traiter les entrées, mais une faille dans l'utilisation de la commande make permet une injection de commandes arbitraires via les noms de paquets. De plus, une seconde vulnérabilité réside dans l'utilisation d'un hash SHA-256 tronqué à 12 caractères (48 bits) pour la mise en cache, rendant possible une attaque par force brute pour générer des collisions.
En combinant ces deux failles et en utilisant une carte graphique RTX 4090 avec l'outil Hashcat, il est possible de modifier des firmwares pour distribuer des versions malveillantes aux utilisateurs. Ainsi, lorsque l'utilisateur met à jour son routeur, il installe une version potentiellement infectée par un malware.
"En exploitant cette possibilité, une image malveillante précédemment construite peut être servie à la place d'une image légitime, ce qui permet à l'attaquant d'"empoisonner" le cache d'artefacts et de fournir des images compromises à des utilisateurs qui ne se doutent de rien.", peut-on lire sur le site du NIST.
Comment se protéger de la CVE-2024-54143 ?
Très rapidement, les développeurs d'OpenWrt ont mis en ligne un correctif pour la faille de sécurité CVE-2024-54143. En effet, le correctif a été publié dans le code le 4 décembre 2024, seulement quelques heures après l'avertissement du chercheur en sécurité RyotaK. Il correspond au commit 920c8a1 sur le GitHub.
L'équipe de développement d'OpenWrt pense que cette vulnérabilité n'a pas été exploitée par les pirates, sans en avoir la certitude. "Les journaux de build disponibles pour d'autres images personnalisées ont été vérifiés et aucune demande malveillante n'a été trouvée. Cependant, en raison des nettoyages automatiques, aucune construction datant de plus de 7 jours n'a pu être vérifiée. Le serveur affecté a été réinitialisé à zéro.", peut-on lire.
De ce fait, OpenWrt vous recommande d'effectuer une mise à jour sur-place vers la même version, afin d'éliminer tous les risques et avoir la certitude d'utiliser une image saine.
