OpenWrt用户应将他们的镜像升级到相同的版本，以保护自己免受上周向开源Wi-Fi路由器项目报告的可能的供应链攻击。

OpenWrt的开发者保罗-斯普奥伦（Paul Spooren）上周五给用户发送了一封电子邮件，内容涉及日本安全公司Flatt Security的研究人员Ry0taK两天前报告的该项目出席系统升级服务器（ASU）中的一个安全问题。

Spooren 写道：“由于‘openwrt/imagebuilder’镜像中的命令注入和构建请求哈希中包含的截短 SHA-256 哈希的组合，攻击者可以通过提供导致哈希碰撞的软件包列表来污染合法镜像。”

第一部分是 Imagebuilder 中的命令注入漏洞，其存在的原因是该程序没有正确地对用户提供的软件包名称进行消毒，这使得潜在的攻击者可以生成用合法的构建密钥签名的恶意固件镜像。

第二部分是使用弱散列（CWE-328）漏洞，该漏洞被追踪为 CVE-2024-54143，CVSS 严重性等级暂定为 9.3。

Spooren 说，SHA-256 哈希值被截断为 12 个字符，大大降低了其复杂性，有可能让攻击者产生碰撞。

他说：“利用这一点，先前构建的恶意图片就可以代替合法图片，让攻击者能够‘毒害’人工智能缓存，并向毫无戒心的用户提供受攻击的图片。”

“综合来看，这些漏洞使攻击者能够通过 ASU 服务提供受攻击的固件镜像，从而影响交付的构建的完整性。”

ASU 是一种允许用户更轻松地升级固件，而不触动其软件包和设置的设施。

这些问题影响了所有ASU实例，但由于它们在独立于Buildbot的专用服务器上运行，因此无法访问SSH密钥或签名证书等敏感资源。

OpenWrt表示，其下载页面上的官方镜像和24.10.0-rc2的任何自定义镜像均未受到影响。它检查了其他自定义镜像的构建日志，没有发现任何违规行为；但是，由于自动清理程序的原因，没有检查超过七天的构建。

Spooren 说： “虽然受影响图像的可能性几乎为零，但建议用户就地升级到相同的版本，以消除受此影响的任何可能性。如果你运行的是公共、自托管的 ASU 实例，请立即更新。”

另外，应用 OpenWrt 公告中详述的两个特定提交也能达到同样的效果。

就在该项目宣布与软件自由保护组织（SFC）联合开发首个硬件平台–OpenWrt One–几天后，OpenWrt发布了这一消息。

它被誉为 “维修权运动 ”的一个巨大胜利，SFC称，该设备 “无法被破解”，因为它有一个开关，可以分别闪存NOR和NAND。