Σάββατο, 20 Φεβρουαρίου, 03:44
Αρχική security OpenWrt: Σοβαρό σφάλμα επιτρέπει πλήρη πρόσβαση στο σύστημά σας

OpenWrt: Σοβαρό σφάλμα επιτρέπει πλήρη πρόσβαση στο σύστημά σας

OpenWrt: Σοβαρό σφάλμα επιτρέπει πλήρης πρόσβαση στο σύστημα

Ένας ερευνητής ασφαλείας ανακάλυψε σοβαρό σφάλμα στο λειτουργικό σύστημα OpenWrt το οποίο επιτρέπει στους επιτιθέμενους να εισάγουν κακόβουλο λογισμικό στα ευάλωτα συστήματα.

Το OpenWrt είναι ένα λειτουργικό σύστημα βασισμένο στο Linux που χρησιμοποιείται κυρίως σε ενσωματωμένες συσκευές και routers για τη δρομολόγηση του network traffic και υπάρχει σε εκατομμύρια συσκευές σε όλο τον κόσμο.

Το σφάλμα, το οποίο ονομάστηκε RCE, επιτρέπει στον package manager να αγνοεί το SHA-256 checksum, με αποτέλεσμα να επιτρέπει στον εισβολέα να παρακάμψει τον έλεγχο των .ipk πακέτων. Ο ερευνητής Guido Vranken, εξήγησε ότι βρήκε αυτήν την ευπάθεια τυχαία όταν προετοίμαζε ένα task για το opkg.

Για να εκμεταλλευτεί κάποιος το σφάλμα, πρέπει πρώτα να στείλει τα μολυσμένα πακέτα από ένα web server. Στη συνέχεια, πρέπει να δημιουργηθεί επικοινωνία μεταξύ της συσκευής και του downloads.openwrt.org και ο εισβολέας πρέπει να έχει τη δυνατότητα να αλλάξει το DNS Server, για να μπορεί το downloads.openwrt.org να αντιστοιχεί σε έναν server ο οποίος είναι υπό τη διαχείριση του εισβολέα. Στην πραγματικότητα, το opkg του ΟpenWrt επιτρέπει στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση σε ολόκληρο το σύστημα.

Κατά τη διάρκεια της επίθεσης, ο hacker πρέπει να έχει ένα έγκυρο και signed package index από το downloads.openwrt.org, ενώ τα κακόβουλα πακέτα πρέπει να έχουν το ίδιο μέγεθός όπως αυτό το οποίο αναφέρεται στο index.  

OpenWrt: Σοβαρό σφάλμα επιτρέπει πλήρης πρόσβαση στο σύστημα

Η ευπάθεια πλέον έχει διορθωθεί και οι χρήστες καλούνται να αναβαθμίσουν το σύστημά τους στην πιο πρόσφατη έκδοση του OpenWrt. Η αναβάθμιση γίνεται με τις ακόλουθες εντολές:

cd /tmp
opkg update
opkg download opkg
zcat ./opkg-lists/openwrt_base | grep -A10 "Package: opkg" | grep SHA256sum
sha256sum ./opkg_2020-01-25-c09fe209-1_*.ipk

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...

ΗΠΑ και Ηνωμένο Βασίλειο καταδικάζουν το Facebook για το block στην Αυστραλία

Πολιτικοί, ειδησεογραφικοί πράκτορες και ομάδες πολιτικών δικαιωμάτων στο Ηνωμένο Βασίλειο και τις ΗΠΑ έχουν στοχοποιήσει το Facebook για την απόφασή του να...

Το Vaio Z (2021) κυκλοφόρησε – Ποιες είναι οι προδιαγραφές του

Το Vaio Z (2021) κυκλοφόρησε ως το τελευταίο laptop της Vaio Corporation που εδρεύει στην Ιαπωνία. Το laptop έρχεται με ένα περίγραμμα...