OpenWrt Tedarik Zinciri İhlali Olayı

 (flatt.tech)
2 puan yazan GN⁺ 2024-12-10 | 1 yorum | WhatsApp'ta paylaş

Giriş

  • Flatt Security Inc.'de güvenlik mühendisi olan RyotaK, OpenWrt'nin ürün yazılımı yükseltme sürecinde bir güvenlik zafiyeti keşfetti.
  • OpenWrt, gömülü cihazlar için Linux tabanlı bir ürün yazılımıdır ve özellikle yönlendiricilerde popülerdir.

sysupgrade.openwrt.org

  • sysupgrade.openwrt.org, kullanıcıların istedikleri paketleri seçerek yeni ürün yazılımı imajları oluşturabildiği bir çevrimiçi hizmettir.
  • Kullanıcının sağladığı kaynak kodla imaj derleme sürecinde güvenlik sorunları ortaya çıkabilir.

Komut enjeksiyonu

  • sysupgrade.openwrt.org sunucusu açık kaynaklı bir projedir ve kaynak kodu openwrt/asu üzerinde barındırılır.
  • Sunucu, derleme ortamını izole etmek için konteynerler kullanır, ancak kullanıcı girdisi üzerinden rastgele komutların çalıştırılmasına izin veren bir zafiyet bulundu.

SHA-256 çakışması

  • İstek karması oluşturulurken SHA-256 karması 12 karaktere kırpılarak kullanılıyordu.
  • Karma çakışması yoluyla sunucu, yanlış derleme artefaktlarını döndürecek şekilde kandırılabiliyordu.

SHA-256 brute-force

  • OpenCL kullanılarak GPU üzerinde karmaları brute-force eden bir program uygulandı, ancak performansı iyi değildi.
  • Hashcat kullanılarak 12 karakterlik bir çakışma bulunmasında başarı sağlandı.

İki saldırının birleştirilmesi

  • Meşru paket listesiyle aynı karmaya sahip bir komut enjeksiyonu payload'u bulunarak saldırı gerçekleştirildi.
  • Saldırganlar, kullanıcıları kötü amaçlı bir ürün yazılımına yükseltmeye zorlayabilirdi.

Sorunun bildirilmesi

  • Sorun OpenWrt ekibine bildirildikten sonra hizmet geçici olarak durduruldu ve hızla düzeltildi.
  • Kullanıcılara, cihazlarının etkilenip etkilenmediğini kontrol etmeleri için bir duyuru yayımlandı.

Sonuç

  • Komut enjeksiyonu ve SHA-256 çakışması sayesinde sysupgrade.openwrt.org hizmeti tehlikeye atılabiliyordu.
  • OpenWrt ekibinin hızlı müdahalesi takdir edildi ve kullanıcılara sorun hızla bildirildi.

Reklam

  • Flatt Security, güvenlik değerlendirmesi ve sızma testi hizmetleri sunuyor; yeni web sayfası güncellemesini kutlamak için özel indirim de sağlıyor.
  • Ayrıca Shisho Cloud adlı güçlü bir güvenlik değerlendirme aracı da sunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-12-10
Hacker News görüşleri

  • Belirli kullanıcılara veya cihazlara göre uyarlanmış kod çalıştırmanın normalleştirilmesi doğrulanabilirlikten yoksundur ve arka kapı içeren bir build üretilmediğini doğrulayamama gibi bir zafiyet barındırır

    • xz-utils ile aynı build'in kullanılması ya da güvenlik araştırmacılarının tedarik zinciri ihlali olup olmadığını doğrulayabileceği build'lerin kullanılması önemlidir
    • Mozilla, release build'leri bir Merkle tree içinde herkese açık olarak kaydetmeye çalıştı ancak bu girişim durduruldu
    • Google, Pixel firmware build'leri için bir uygulama yazdı, ancak Google Play Store üzerinden dağıtılan uygulamalar savunmasız olabilir
    • Apple, cihaza özel build'ler için Google'dan daha kötü durumdadır çünkü bunları şeffaf biçimde sunmaz
    • Gentoo'nun ebuild deposu, iyi uygulanmış ikili şeffaflığa bir örnektir ve açık kaynak yazılımdaki en büyük ve en dağıtık Merkle tree'lerden biridir

  • ".join" kullanımı riskli olabilir

    • Bitişik alanlar arasındaki karakterler taşınsa bile hash değişmeyebilir
    • Sistemi doğrudan tehlikeye atmasa da cache'i bozabilir veya downgrade'e yol açabilir

  • Açık kaynak, kurumsal düzeyde kapalı kaynakla rekabet edemez

    • Sorun 3 saat içinde düzeltildi ve müşterilerin 6 ay boyunca patch beklemesi gerekmedi
    • Sorunu bildiren kişiye dava açılmadı
    • Kullanıcılara, "eski" ama kusursuz çalışan cihazlarını çöpe atmaları söylenmedi

  • Blog gönderisinde "tedarik zinciri" terimi geçmiyor

    • "Tedarik zinciri", hammaddeleri bitmiş ürünlere dönüştürüp son tüketiciye ulaştıran karmaşık bir lojistik sistemdir
    • Bunun OpenWRT'nin ticari sağlayıcılarına yönelik bir sistem mi yoksa son tüketiciye yönelik bir sistem mi olduğu konusunda soru işaretleri var

  • Açık kaynak araçları, asıl amaçlarına uymayacak şekilde uyarlanmıştı

    • Büyük şirketler sorunu çözmek için dava açar ve patch'i asla yayımlamazdı
    • OpenWRT, bilgi aldıktan sonra güvensiz hizmeti çevrimdışına aldı ve raporu doğruladıktan 3 saat sonra patch yayımladı

  • Hash'i kısaltma fikrinin nasıl ortaya çıktığı merak ediliyor

    • Bunun ne amaçla yapıldığını ya da ne avantaj sağladığını anlamak zor

  • Kısa çakışmalar bulmak için bu kadar fazla GPU gücü gerekmesine şaşırılıyor

    • Güvenlik analizi için ayda 40k'nin makul bir fiyat olup olmadığı sorgulanıyor
    • İyi bir güvenlik araştırmacısının yılda yaklaşık 500k kazanıp kazanamayacağı soruluyor

  • Hash uzunluğunun 64 karakterden 12 karaktere kesildiği hemen fark edildi

  • hashcat performansının argüman sırasına göre neden bu kadar büyük farklılık gösterdiği soruluyor

    • Her çalıştırmada hedef pattern'in taranıp taranmadığı merak ediliyor

  • Çok zekice bir kod okuma ve exploit geliştirme üzerine harika bir yazı