一位研究人员说,近三年来,OpenWRT这个为家庭路由器和其他类型嵌入式系统供电的开源操作系统一直容易受到远程代码执行攻击,因为更新是通过未加密的通道传递的,数字签名验证很容易绕过。
OpenWRT拥有忠实的用户群,他们使用免费提供的软件包替代安装在设备上的固件。除了路由器,OpenWRT还可以在智能手机、掌上电脑甚至笔记本电脑和台式电脑上运行。用户普遍认为OpenWRT是一个更安全的选择,因为它提供了高级功能,而且其源代码易于审计。
然而,安全研究人员Guido Vranken最近发现,更新和安装文件是通过未加密的HTTPs连接传递的,这些连接容易受到攻击,使得对手可以用恶意更新完全替换合法更新。这位为安全公司ForAllSecure工作的研究人员还发现,对于具有中等经验的攻击者来说,绕过数字签名检查(将下载的更新验证为OpenWTR维护者提供的合法更新)是微不足道的。这两个失误的结合使得发送恶意更新成为可能,易受攻击的设备将自动安装。
不是每个人都有功绩
这些代码执行漏洞在其范围内受到限制,因为对手必须能够进行中间人攻击或篡改设备用于在Internet上查找更新的DNS服务器。这意味着网络上没有恶意用户且使用合法DNS服务器的路由器不会受到攻击。Vranken还推测包欺骗或ARP缓存中毒也可能使攻击成为可能,但他警告说,他没有测试任何一种方法。
尽管有这些要求,但许多网络还是将设备运营商不认识或不信任的人连接起来。更重要的是,取代路由器设置的攻击,将合法的DNS指向恶意的DNS,这是互联网上的现实,正如这里、这里、这里和这里(仅举几个例子)的疯狂攻击所证明的那样。
缺乏HTTPS加密强制是该漏洞的一个原因。HTTPS提供的加密使得中间人攻击者无法在数据传输过程中对其进行篡改。HTTPS内置的身份验证保证也使得攻击者无法模拟http://downloads.openwrt.org,这是一个真正的openwrt服务器,它提供合法的更新和安装文件。可以从下载服务器的HTTP或HTTPS版本安装更新。
利用这些弱点,Vranken能够创建一个模拟http://downloads.openwrt.org并提供恶意更新的服务器。只要恶意文件的大小与合法文件的大小相同,它就由易受攻击的设备执行。
