Bug in OPKG-Paketverwaltung gefährdet Geräte mit OpenWrt-Routersoftware

  • TIPP

  • mad.de
  • 455 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Bug in OPKG-Paketverwaltung gefährdet Geräte mit OpenWrt-Routersoftware

    Entfernte Angreifer könnten OpenWrt-Router mit Schadcode attackieren. Abgesicherte Versionen stehen zum Download bereit.

    Das alternative Betriebssystem OpenWrt, welches beispielsweise auf einigen Routern läuft, ist verwundbar. Sind bestimmte Voraussetzungen erfüllt, könnten Angreifer dem System Pakete mit Schadcode unterschieben. Wer OpenWrt nutzt, sollte es zeitnah aktualisieren.

    Die Sicherheitslücke (CVE-2020-7982) findet sich in der OPKG-Paketverwaltung. Darüber kann man Software für OpenWrt-Systeme suchen und installieren. Das Angriffsrisiko ist mit "hoch" eingestuft. Attacken sind aber nicht ohne Weiteres möglich.

    Kaputte Integritätsprüfung
    Aufgrund einer mangelnden Prüfung des SHA256-Hashes von Paketen ist die Integrität von Dateien nicht mehr gewährt. So könnten Angreifer Opfern präparierte Pakete unterschieben, die das System ohne Murren installiert. Durch die Ausführung von eigenem Code könnten Angreifer die volle Kontrolle über Geräte erlangen.

    Damit eine Attacke klappt, muss ein Angreifer aber Opfer dazu bringen, sich mit einem unter der Kontrolle des Angreifer befindlichen Servers mit manipulierten OPKG-Paketen zu verbinden. Alternativ müsste sich ein Angreifer in einer Man-in-the-Middle-Position befinden, führt der Entdecker der Schwachstelle Guido Vranken in einem Blog-Beitrag aus. Dort findet man auch detaillierte Hinweise, wie sich der Fehler zusammensetzt und Exploit-Code.

    Sicherheitsupdates verfügbar
    Die OpenWrt-Entwickler haben den reparierten Paket-Manager OPKG 2020-01-25 bereits Anfang 2020 in Versionen OpenWrt 18.06.7-1-g6bfde67581 und 19.07.1-1-g4668ae3bed implementiert. Wer möchte, kann in seiner OpenWrt-Ausgabe den OPKG-Paketmanager auch manuell aktualisieren. Wie das funktioniert, erläutern die Entwickler in einem Beitrag zur Sicherheitslücke.

    Quelle: Bug in OPKG-Paketverwaltung gefährdet Geräte mit OpenWrt-Routersoftware | heise online