OpenWrt सप्लाई चेन समझौता घटना

 (flatt.tech)
2 पॉइंट द्वारा GN⁺ 2024-12-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें

परिचय

  • Flatt Security Inc. के सुरक्षा इंजीनियर RyotaK ने OpenWrt की firmware upgrade प्रक्रिया में एक सुरक्षा भेद्यता खोजी।
  • OpenWrt embedded devices के लिए Linux-आधारित firmware है, और खासकर routers में काफ़ी लोकप्रिय है।

sysupgrade.openwrt.org

  • sysupgrade.openwrt.org एक online service है, जहाँ उपयोगकर्ता अपनी पसंद के packages चुनकर नई firmware image बना सकते हैं।
  • उपयोगकर्ता द्वारा दिए गए source code से image build करने की प्रक्रिया में सुरक्षा समस्या उत्पन्न हो सकती है।

command injection

  • sysupgrade.openwrt.org server एक open source project है, और इसका source code openwrt/asu पर host किया गया है।
  • server build environment को isolate करने के लिए containers का उपयोग करता है, लेकिन एक ऐसी भेद्यता मिली जिसमें उपयोगकर्ता input के ज़रिए arbitrary commands चलाए जा सकते थे।

SHA-256 टकराव

  • request का hash बनाने की प्रक्रिया में SHA-256 hash को काटकर 12 अक्षरों तक इस्तेमाल किया गया।
  • hash collision के ज़रिए server को धोखा देकर गलत build artifacts लौटाने के लिए मजबूर किया जा सकता था।

SHA-256 brute force

  • OpenCL का उपयोग करके GPU पर hash brute force करने वाला एक program लागू किया गया, लेकिन उसका performance अच्छा नहीं था।
  • Hashcat का उपयोग करके 12-अक्षर वाला collision खोजने में सफलता मिली।

दो हमलों का संयोजन

  • वैध package list के समान hash रखने वाला command injection payload खोजकर हमला किया गया।
  • हमलावर उपयोगकर्ता को malicious firmware में upgrade करने के लिए मजबूर कर सकता था।

समस्या की रिपोर्ट

  • OpenWrt टीम को समस्या की रिपोर्ट करने के बाद service को अस्थायी रूप से बंद किया गया और जल्दी से ठीक कर दिया गया।
  • उपयोगकर्ताओं के लिए एक notice जारी किया गया ताकि वे जाँच सकें कि उनके devices प्रभावित हुए हैं या नहीं।

निष्कर्ष

  • command injection और SHA-256 collision के माध्यम से sysupgrade.openwrt.org service को compromise किया जा सकता था।
  • OpenWrt टीम की तेज़ प्रतिक्रिया के लिए आभार व्यक्त किया गया और उपयोगकर्ताओं को समस्या के बारे में तुरंत सूचित किया गया।

विज्ञापन

  • Flatt Security सुरक्षा आकलन और penetration testing services प्रदान करता है, और नए web page update के उपलक्ष्य में विशेष छूट दे रहा है।
  • यह Shisho Cloud नाम का एक शक्तिशाली security assessment tool भी प्रदान करता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-12-10
Hacker News राय

  • किसी खास user या device के लिए tailor किए गए code execution का सामान्यीकरण ऐसा जोखिम है जिसमें verification की संभावना नहीं होती, और यह पुष्टि नहीं की जा सकती कि backdoor शामिल करने वाला build नहीं बनाया गया

    • xz-utils के समान build का उपयोग करना, या ऐसे build का उपयोग करना जिन्हें security researchers supply chain compromise की जांच के लिए verify कर सकें, महत्वपूर्ण है
    • Mozilla ने release builds को Merkle tree में सार्वजनिक रूप से दर्ज करने की कोशिश की थी, लेकिन उसे रोक दिया गया
    • Google ने Pixel firmware builds के लिए implementation लिखा, लेकिन Google Play Store के जरिए आने वाले apps असुरक्षित हो सकते हैं
    • Apple individual devices के लिए tailor किए गए builds को पारदर्शी रूप से उपलब्ध नहीं कराता, इसलिए इस मामले में वह Google से भी बदतर है
    • Gentoo का ebuild repository अच्छी तरह लागू की गई binary transparency का एक उदाहरण है, और open source software के सबसे बड़े और distributed Merkle tree में से एक है

  • ".join" का उपयोग खतरनाक हो सकता है

    • अगर पास-पास के fields के बीच characters को इधर-उधर किया जाए, तब भी hash नहीं बदलेगा
    • यह system को सीधे तौर पर compromise नहीं करता, लेकिन cache को खराब कर सकता है या downgrade के लिए मजबूर कर सकता है

  • open source business-grade closed source से प्रतिस्पर्धा नहीं कर सकता

    • समस्या को 3 घंटे में ठीक कर दिया गया, और customers को 6 महीने तक patch का इंतजार नहीं करना पड़ा
    • समस्या की रिपोर्ट करने वाले व्यक्ति पर मुकदमा नहीं किया गया
    • users से यह नहीं कहा गया कि वे अपने "पुराने" लेकिन पूरी तरह काम कर रहे devices फेंक दें

  • ब्लॉग पोस्ट में "supply chain" शब्द दिखाई नहीं देता

    • "supply chain" वह जटिल logistics system है जो raw materials को finished products में बदलता है और उन्हें अंतिम उपभोक्ता तक पहुंचाता है
    • यह सवाल है कि क्या यह OpenWRT के commercial suppliers के लिए system है, या अंतिम उपभोक्ताओं के लिए system

  • open source tools को उनके मूल उद्देश्य से अलग तरीके से ढाला गया

    • बड़ी कंपनियां समस्या को सुलझाने के लिए मुकदमा करेंगी और patch कभी सार्वजनिक नहीं करेंगी
    • OpenWRT ने सूचना मिलने के बाद असुरक्षित service को offline कर दिया, और report की पुष्टि के 3 घंटे के भीतर patch जारी कर दिया

  • यह जानने की जिज्ञासा है कि hash को truncate करने का विचार आया कैसे

    • यह समझना मुश्किल है कि इसका उद्देश्य या फायदा क्या है

  • यह देखकर हैरानी है कि छोटी collision खोजने के लिए भी काफी GPU power चाहिए

    • यह सवाल है कि security analysis के लिए प्रति माह 40k उचित कीमत है या नहीं
    • यह भी सवाल है कि क्या एक अच्छा security researcher सालाना लगभग 500k कमा सकता है

  • तुरंत ध्यान गया कि hash की लंबाई 64 characters से घटाकर 12 characters कर दी गई है

  • यह सवाल है कि argument order के अनुसार hashcat performance इतनी ज्यादा क्यों बदलती है

    • यह भी जिज्ञासा है कि क्या हर run में target pattern को scan किया जाता है

  • बहुत ही चतुर code reading और exploit development पर एक शानदार लेख है