Het opensource-OpenWRT-besturingssysteem bevat een beveiligingslek dat remote code execution mogelijk maakt. Dit wordt deels veroorzaakt doordat updates voor OpenWRT worden verstrekt met http. Er zijn inmiddels beperkte mitigaties beschikbaar.
Security-researcher Guido Vranken ontdekte het beveiligingslek in OpenWRT, een opensource-besturingssysteem dat vooral wordt gebruikt in embedded apparaten, zoals routers. Hij publiceerde informatie over de kwetsbaarheid op ForAllSecure. Door de kwetsbaarheid kunnen hackers de update-verificatie van het besturingssysteem omzeilen, waardoor ze hun eigen, aangepaste update naar een apparaat kunnen sturen. Deze update wordt vervolgens automatisch geïnstalleerd. Via deze weg kunnen hackers bijvoorbeeld malware installeren die remote code execution mogelijk maakt.
De kwetsbaarheid wordt deels veroorzaakt doordat OpenWRT-updates niet worden verstrekt via https-kanalen, die het onmogelijk zouden maken voor hackers om met geleverde updates te knoeien. In plaats daarvan maakt OpenWRT gebruik van niet-versleutelde http-verbindingen. Volgens Ars Technica is dit vermoedelijk een bewuste keuze van OpenWRT, omdat misschien niet alle apparaten updates via https kunnen ontvangen. Om risico's te verkleinen, gebruikt het besturingssysteem wel sha256-checksums om de legitimiteit van updates te verifiëren, maar volgens Vranken kan die check van digitale signatures relatief gemakkelijk worden omzeild door een spatie aan het begin van een input-string toe te voegen. Deze bug is vermoedelijk al in februari 2017 ontstaan.
Volgens Vranken is het omzeilen van deze digitale signaturechecks erg gemakkelijk voor hackers met 'bescheiden ervaring', zo schrijft Ars Technica. Hij deelt daarbij een proof-of-concept die aantoont dat het uitvoeren van een aanval relatief simpel is op ForAllSecure. Vranken kon met deze exploit een server creëren die zich voordoet als de legitieme OpenWRT-updateserver.
Het lek heeft een enigszins beperkte omvang, omdat een hacker hiervoor een man-in-the-middle-aanval moet uitvoeren of de DNS-server die een apparaat gebruikt om updates te ontvangen, moet manipuleren. Dit betekent dat routers in een netwerk dat niet is geïnfecteerd en dat een veilige dns-server gebruikt, niet direct kunnen worden getroffen. Vranken speculeert dat packet-spoofing en arp-cachevergiftiging misschien ook mogelijk zijn, maar geeft tegelijk aan dat hij dat niet heeft getest.
De beheerders van OpenWRT hebben in februari updates uitgebracht met beperkte mitigaties. De mitigatie vereist nieuwe update-installaties om te worden verstuurd vanuit 'een goed gevormde lijst die hashverificatie niet kan omzeilen'. Tegelijk stelt OpenWRT dat dit geen oplossing is voor de lange termijn, omdat hackers ook een verouderde packagelist kunnen gebruiken om de aanval uit te voeren. De mitigaties zitten in OpenWRT-versies 18.06.7 en 19.07.1.
:strip_exif()/i/2004585566.png?f=thumbmedium)
:strip_exif()/i/2007380394.jpeg?f=fpa)
/i/2004735732.png?f=fpa)
/i/1230197325.png?f=fpa)
/i/1396344911.png?f=fpa)
/i/1279541672.png?f=fpa)
:strip_exif()/i/2001587603.jpeg?f=fpa)
/i/2001375597.png?f=fpa)
/i/2002778098.png?f=fpa)
/i/2001841111.png?f=fpa)
/i/1239720381.png?f=fpa)
/i/1310566111.png?f=fpa)
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
/u/47120/crop5b474591c4ffc.png?f=community){kind=small}
/u/512556/doranku.png?f=community){kind=small}
/u/26742/000000751.png?f=community){kind=small}
:strip_icc():strip_exif()/u/177406/crop5ca60c3b4a6c7_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/588833/crop5dcbcfa62ea38_cropped.jpeg?f=community){kind=small}