高危警告!开源路由系统OpenWrt曝出严重漏洞,用户请速查更新升级!

开源路由系统 OpenWrt 曝高危漏洞:CVE-2024-54143,用户需立即更新升级

27416e042820241210134331

 

近日,开源路由系统 OpenWrt 被网络安全研究人员爆出存在一枚高危安全漏洞,已分配编号 CVE-2024-54143,其漏洞评级为 9.3/10(CVSS4.0)。
虽然该漏洞已经存在一段时间,但在被发现并通报后,OpenWrt 官方团队迅速采取行动,仅用数小时完成了修复。
所有用户应及时检查是否安装了最新版本,并立即升级以确保设备安全。

使用第三方固件的用户需注意

如果您使用的是第三方编译的 OpenWrt 固件,请留意相关开发者的主页,关注上游修复进度。一旦有新版本发布,建议立即下载并安装,确保漏洞不会影响您的设备。


漏洞技术细节

此次漏洞由 Flatt Security 的研究员 RyotaK 在调试自家路由器并执行常规升级时发现,涉及以下两个主要问题:

1. 命令注入漏洞

  • 漏洞来源
    OpenWrt 的 Attended Sysupgrade(有人值守系统升级服务)功能允许用户创建定制化的固件映像,简化设备升级流程。然而,该服务在通过 sysupgrade.OpenWrt.org 的容器环境处理升级任务时,不安全地使用了 make 命令,导致输入验证存在缺陷。
  • 攻击方式
    攻击者可通过特制的软件包名称实现任意命令注入,从而执行恶意代码。

2. 哈希截断漏洞

  • 问题描述
    Attended Sysupgrade 服务采用 SHA-256 哈希作为缓存机制,但仅使用了 前 12 个字符(48 位)进行缓存标识。这种设计存在较大的安全风险,容易被暴力破解。
  • 后果
    攻击者可借助高性能显卡(如 RTX 4090)和工具(如 Hashcat)快速完成哈希碰撞,并伪造恶意版本固件,诱骗用户下载。

漏洞修复进展

在接到漏洞通报后,OpenWrt 官方团队迅速关闭了升级服务器并展开修复工作。在 2024 年 12 月 4 日,漏洞修复仅用 3 小时即完成,升级服务器也已恢复正常运行。
官方声明:

  • 目前未发现任何利用此漏洞的攻击行为,托管于 downloads.OpenWrt.org 的镜像文件亦未受到影响。
  • 但由于服务器日志仅保留最近 7 天记录,建议所有用户尽快升级至最新版本固件,以彻底消除潜在风险。

安全升级建议

  1. 官方固件用户
    • 下载最新的 OpenWrt 固件并执行升级操作。即使没有发现问题,替换现有固件也是一种更为稳妥的选择。
  2. 第三方固件用户
    • 关注固件开发者主页,等待同步更新后尽快升级至新版本。
  3. 注意事项
    • 升级后请重新检查配置文件及已安装的自定义软件包,确保系统功能正常运行。

 

虽然官方表示漏洞被利用的可能性极低,但此次事件再次提醒我们,保持路由器固件及时更新是确保网络安全的基本保障。如果您还未升级到最新版本,请务必尽快行动。

守护网络安全,从及时更新固件开始!

THE END
喜欢就支持一下吧
点赞1725分享
惊爆后门!继 LNMP 后 Oneinstack 同样被植入后门病毒,自己所为还是另有隐情? | 零度解说-零度博客
真白嫖!免费申请 office E5 开发者账号,送5T私人网盘,附无限续期的教程!| 零度解说-零度博客

真白嫖!免费申请 office E5 开发者账号,送5T私人网盘,附无限续期的教程!| 零度解说

https://youtu.be/eamiBQpzbrQ ======================= Microsoft 365 开发者账号注册链接和注意事项:https://www.freedidi.com/8226.html
admin的头像-零度博客admin
1.4W+6540
Manus AI 功能演示 !如何获取内测码?免费开源替代方案解析 | 零度解说-零度博客
安卓手机刷机成 Google Pixel ! 让老旧手机重新复活,超级流畅丝滑-零度博客

安卓手机刷机成 Google Pixel ! 让老旧手机重新复活,超级流畅丝滑

1.下载 pixel experience 系统: 【点击前往】 下载适合自己机型的系统安装包,上面已经提供了主流安装手机的刷机包。 2.下载 Android SDK 工具包:【点击下载】,支持Windows 、Mac、Linux 系...
admin的头像-零度博客admin
2.3W+2179
核电挖矿! 美国向中国比特币矿主敞开了大门,提供廉价的核电支持挖矿,你准备好了吗?| 零度解说-零度博客
免费网盘的“耻辱榜”!限速最严重、吃相最难看的到底是谁?今天我给大家测出来了 | 零度解说-零度博客
本地部署 Llama3  大模型 !最简单的3种方法,支持CPU /GPU运行 !100% 保证成功 | 零度解说-零度博客

本地部署 Llama3 大模型 !最简单的3种方法,支持CPU /GPU运行 !100% 保证成功 | 零度解说

https://youtu.be/NP0s7T9Mou8 本地部署 Llama3 – 8B/70B 大模型软件下载:https://www.freedidi.com/12189.html
Chrome OS Flex 是数百万无法运行 Windows 11 的 PC 的理想选择-零度博客

Chrome OS Flex 是数百万无法运行 Windows 11 的 PC 的理想选择

2025 年 10 月 14 日标志着对 Windows 10 家庭版和专业版的支持和安全更新的结束。这意味着对于不满足Windows 11 硬件要求的 Windows PC,官方保证的功能和安全更新也将结束。 从 2022 年初开始...
admin的头像-零度博客admin
1.6W+2253
短信轰炸!手机监听,是如何实现的?当普通人遇到这些情况又该如何面对? | 零度解说-零度博客

短信轰炸!手机监听,是如何实现的?当普通人遇到这些情况又该如何面对? | 零度解说

https://youtu.be/NKIydLLjFAA ============== SMSboom 开源程序:https://www.freedidi.com/8265.html