物聯網裝置作業系統OpenWrt系統ASU更新模組存在弱點，攻擊者有機會植入惡意映像檔

網通設備常用的作業系統OpenWrt，傳出存在重大層級的漏洞CVE-2024-54143，這項弱點涉及名為Attended Sysupgrade（ASU）的功能，4.0版CVSS風險評分達到9.3（滿分10分），相當嚴重，對此，開發團隊在數個小時內就發布920c8a1版進行修補。

OpenWrt是基於Linux打造的開源作業系統，具備能高度客製的特性，專門提供無線基地臺、路由器，以及各式物聯網裝置使用，開發團隊支援超過2,500種型號的裝置，涵蓋華碩、Buffalo、D-Link、兆勤（Zyxel Networks）等多家廠牌的設備。

而存在資安問題的ASU，主要功能是讓使用者自定韌體，並在部署之後仍然能保留原本設備已安裝的套件及組態設定。

通報此事的資安業者Flatt Security研究人員RyotaK指出，攻擊者可結合Openwrt映像檔建置工具的命令注入弱點，以及程式碼組建請求雜湊值（build request hash）當中截斷的SHA-256雜湊值，藉由提供套件名單造成雜湊值碰撞（hash collision），從而汙染合法的映像檔。

一旦攻擊者成功利用漏洞，就能透過ASU服務提供惡意韌體映像檔，進而針對透過這個管道傳送的軟體，破壞其完整性。

對此OpenWrt也發布資安公告提出說明，證實這項漏洞的存在，若是使用者架設自行管理的ASU系統，就有可能受到影響，使用者應儘速更新，或採取緩解措施因應。不過他們強調，透過downloads.openwrt.org提供的正式版映像檔，不受這項漏洞影響。