Insiden kompromi rantai pasok OpenWrt

 (flatt.tech)
2 poin oleh GN⁺ 2024-12-10 | 1 komentar | Bagikan ke WhatsApp

Pengantar

  • Insinyur keamanan Flatt Security Inc., RyotaK, menemukan kerentanan keamanan dalam proses upgrade firmware OpenWrt.
  • OpenWrt adalah firmware berbasis Linux untuk perangkat embedded, dan sangat populer terutama untuk router.

sysupgrade.openwrt.org

  • sysupgrade.openwrt.org adalah layanan online yang memungkinkan pengguna memilih paket yang diinginkan untuk membuat image firmware baru.
  • Masalah keamanan dapat muncul dalam proses membangun image dari kode sumber yang disediakan pengguna.

Injeksi perintah

  • Server sysupgrade.openwrt.org adalah proyek open source, dan kode sumbernya di-host di openwrt/asu.
  • Server menggunakan container untuk mengisolasi lingkungan build, tetapi ditemukan kerentanan yang memungkinkan eksekusi perintah arbitrer melalui input pengguna.

Tabrakan SHA-256

  • Dalam proses pembuatan hash permintaan, hash SHA-256 digunakan setelah dipotong menjadi 12 karakter.
  • Melalui tabrakan hash, server dapat ditipu agar mengembalikan artefak build yang salah.

Brute force SHA-256

  • Sebuah program diimplementasikan untuk melakukan brute force hash di GPU menggunakan OpenCL, tetapi performanya kurang baik.
  • Dengan menggunakan Hashcat, tabrakan 12 karakter berhasil ditemukan.

Menggabungkan dua serangan

  • Serangan dilakukan dengan menemukan payload injeksi perintah yang memiliki hash sama dengan daftar paket yang sah.
  • Penyerang dapat memaksa pengguna untuk melakukan upgrade ke firmware berbahaya.

Pelaporan masalah

  • Setelah masalah dilaporkan ke tim OpenWrt, layanan sempat dihentikan sementara dan segera diperbaiki.
  • Pengumuman diterbitkan agar pengguna memeriksa apakah perangkat mereka terdampak.

Kesimpulan

  • Layanan sysupgrade.openwrt.org dapat dikompromikan melalui injeksi perintah dan tabrakan SHA-256.
  • Penulis berterima kasih atas respons cepat tim OpenWrt dan pemberitahuan cepat kepada pengguna.

Iklan

  • Flatt Security menyediakan layanan penilaian keamanan dan penetration testing, serta menawarkan diskon khusus untuk merayakan pembaruan halaman web baru.
  • Mereka juga menyediakan alat penilaian keamanan yang kuat bernama Shisho Cloud.

Bacaan terkait

1 komentar

 
GN⁺ 2024-12-10
Opini Hacker News

  • Normalisasi eksekusi kode yang ditargetkan untuk pengguna atau perangkat tertentu tidak memiliki kemampuan verifikasi, dan memiliki kelemahan karena tidak ada cara memastikan bahwa build yang dibuat tidak menyertakan backdoor

    • Penting untuk menggunakan build yang sama seperti xz-utils, atau build yang memungkinkan peneliti keamanan memverifikasi apakah telah terjadi kompromi rantai pasok
    • Mozilla pernah mencoba mencatat build rilis secara publik dalam Merkle tree, tetapi upaya itu dihentikan
    • Google menulis implementasi untuk build firmware Pixel, tetapi aplikasi melalui Google Play Store bisa rentan
    • Apple lebih buruk daripada Google karena tidak menyediakan build yang disesuaikan per perangkat secara transparan
    • Repositori ebuild Gentoo adalah contoh transparansi biner yang diimplementasikan dengan baik, dan merupakan salah satu Merkle tree terbesar dan paling terdistribusi untuk perangkat lunak open source

  • Penggunaan ".join" bisa berbahaya

    • Hash tidak berubah meskipun karakter dipindahkan antar field yang berdekatan
    • Ini tidak secara langsung merusak sistem, tetapi bisa merusak cache atau memicu downgrade

  • Open source tidak bisa disaingi oleh closed source kelas bisnis

    • Masalah diperbaiki hanya dalam 3 jam, tanpa membuat pelanggan menunggu patch selama 6 bulan
    • Mereka tidak menggugat orang yang melaporkan masalah
    • Mereka tidak menyuruh pengguna membuang perangkat yang "ketinggalan zaman" tetapi masih berfungsi sempurna

  • Istilah "rantai pasok" tidak muncul dalam posting blog tersebut

    • "Rantai pasok" adalah sistem logistik kompleks yang mengubah bahan mentah menjadi barang jadi dan mendistribusikannya ke konsumen akhir
    • Ada pertanyaan apakah ini sistem untuk pemasok komersial OpenWRT, atau sistem untuk konsumen akhir

  • Alat open source telah disesuaikan untuk tujuan yang bukan tujuan aslinya

    • Perusahaan besar akan mengajukan gugatan untuk menyelesaikan masalah dan tidak akan pernah merilis patch secara publik
    • Setelah menerima informasi, OpenWRT mematikan layanan yang tidak aman, lalu merilis patch dalam 3 jam setelah memverifikasi laporan

  • Ada rasa penasaran bagaimana ide memotong hash bisa muncul

    • Sulit memahami tujuan atau manfaatnya

  • Terkejut bahwa dibutuhkan banyak daya GPU untuk mencari collision pendek

    • Ada pertanyaan apakah 40k per bulan adalah harga yang wajar untuk analisis keamanan
    • Ada pertanyaan apakah peneliti keamanan yang bagus bisa menghasilkan sekitar 500k per tahun

  • Langsung menyadari bahwa panjang hash dipotong menjadi 12 karakter dari 64 karakter

  • Ada pertanyaan mengapa performa hashcat sangat berbeda tergantung urutan argumen

    • Ada dugaan apakah pola target dipindai pada setiap eksekusi

  • Tulisan yang sangat bagus tentang pembacaan kode yang cerdas dan pengembangan exploit