哈希游戏

　　在信息安全日益重要的今天，OpenWrt于12月6日警报再度生响，通报其按需固件更新服务attended.sysupgrade暴露出严重的高危漏洞（CVE-2024-54143）。安全研究员RyotaK在家庭路由器的升级过程中，惊讶地揭露了这个CVSS评分高达9.3的安全隐患——邪恶的攻击者能够轻易地利用这个漏洞，向用户推送感染恶意固件！

　　该漏洞的根源在于OpenWrt设计的按需镜像服务器ASU（Attended sysupgrade），用户可以根据自己的需求定制固件。问题是，这个过程竟然不需要任何身份验证，极大地降低了安全防线。只需一招，攻击者便可绕过完整性检查，悄无声息地操控用户设备，甚至在固件构建时悄悄植入恶意命令。

　　：攻击者可以在构建镜像过程中，提交含有恶意代码的软件包列表，悄然注入不法指令。即便是经过合法密钥签名的固件，仍可能潜伏恶意代码。

　　：attended.sysupgrade服务的哈希机制将SHA-256哈希值缩减至仅12个字符，这一决定让哈希的安全性大幅降低。攻击者可利用哈希碰撞技术，将自制恶意镜像轻易替换掉正常镜像，造成用户系统遭到感染。

　　值得庆幸的是，OpenWrt团队已经紧急出具修复补丁，强烈建议用户尽快更新至新版本，以保障设备的安全性。尽管目前没有证据表明供的镜像受到影响，但为了安全起见，用户最好立即替换可能存在风险的固件，确保自身网络环境的稳定。

　　在这个数字时代，时刻保持警惕对每个网络用户来说都至关重要。一个小小的漏洞，可能就会引发一场巨大的网络安全危机。返回搜狐，查看更多