В инструментарии ASU (Attended SysUpgrade) найдены уязвимости, позволяющие скомпрометировать сборочные артефакты OpenWrt

Эксперты по ИБ обнаружили в инструментарии ASU (Attended SysUpgrade) открытого проекта OpenWrt критические уязвимости (CVE-2024-54143). Злоумышленники с помощью этих уязвимостей могут скомпрометировать сборочные артефакты, распространяемые через сервис sysupgrade.openwrt.org или сторонние ASU-серверы, и добиться установки модифицированных специальным образом прошивок на системы пользователей, применяющих для обновления прошивок режим attended upgrade через веб-интерфейс selector.openwrt.org или инструментарий командной строки attended.sysupgrade.

По информации OpenNET, для успешного проведения атаки злоумышленнику достаточно отправить запрос формирования сборки на сервер ASU (подобные запросы любой пользователь может отправить без прохождения аутентификации). Через манипуляции со специально оформленным списком пакетов атакующий может организовать отправку ранее сгенерированных вредоносных образов в ответ на легитимные сборочные запросы других пользователей.

Сервис ASU применяется в OpenWrt для формирования и установки обновлений прошивок без потери имеющихся настроек и установленных пользователем пакетов. Через web-интерфейс или инструментарий командной строки пользователь отправляет запрос на формирование обновлённого образа прошивки, указывая установленные в его системе пакеты. Через какое-то время сервер ASU формирует образ, соответствующий заказанному содержимому, после чего пользователь загружает его и прошивает его на своё устройство. Дополнительно предоставляется опция, позволяющая сохранить в обновлённой прошивке имеющиеся настройки.

За обработку запросов от пользователей отвечает ASU Server, который запускает автоматическую сборку образов прошивок при помощи инструментария ImageBuilder, а также поддерживает кэш из