ru_vds Dec 11 2024 at 13:01

Прошивки OpenWrt: атака на цепочку поставок

Medium

10 min

14K

RUVDS.com corporate blogOpen source*Information Security*Computer hardwareNetwork hardware

Review

Translation

+93

Comments 5

opanas Dec 11 2024 at 17:29

Уязвимость лишь для тех, кто установил пакет luci-app-attendedsysupgrade?

AlexanderS Dec 12 2024 at 19:38

Подтвердив наличие проблемы, разработчики временно приостановили сервис sysupgrade.openwrt.org и изучили уязвимость. За три часа они выпустили исправленную версию и перезапустили сервис.

Забавно, удивительно то, что и так должно быть нормой. Потому что нас уже приучили как на подобное реагируют именитые вендоры затягивая решение на дни/недели/месяцы...

ostapru Dec 17 2024 at 15:25

Тут исследователь нашёл проблему и сам указал место в коде, которое нужно исправить. Преимущества опенсорса.

Фикс вполне очевиден прямо из исследования: "use full hash length" https://github.com/openwrt/asu/commit/d4c9e8b555eee52f17698e9cea05dc45112dd31b

Но всё равно они молодцы, что так быстро отреагировали.

В большинстве случаев, к сожалению, не всегда удаётся достаточно быстро найти решение даже при наличии упрощённого теста.

viruslab Dec 13 2024 at 11:49

Отличная работа!

vikarti Dec 14 2024 at 09:00

Почему то по заголовку показалось что тут речь про то что этот самый онлайн-сервис поимели (хакеры или спецслужбы) а потом начали иметь уже тех кто им пользовался.