OpenWrt漏洞以及一些安全事项说明

前几天在刷到一个说OpenWrt漏洞的视频，全篇就直接将官网的公告投屏出来，也没说影响是啥，也没说是否需要修复或者怎么修复，就一个标题，OpenWrt公布致命漏洞，看的莫名其妙。

本着折腾学习的心态，研究了下相关的漏洞信息，分享下我关于安全的一些看法。

关于CVE-2024-54143漏洞说明

OpenWrt官方12月6日确实发布了一个CVE-2024-54143的漏洞。

关于这个漏洞，其中原理将CVE编号随便一搜都能找到。具体影响引用国内安全厂商启明星辰的介绍：

攻击者可组合利用这些漏洞，通过命令注入漏洞生成恶意固件镜像，并通过哈希碰撞技术，将恶意固件冒充为合法固件，并伪装在缓存中分发给用户。攻击者可以通过篡改 sysupgrade.openwrt.org 服务生成的固件镜像，当用户通过ASU、Firmware Selector 或 CLI升级等途径下载并安装恶意固件镜像后，设备可能被攻击者完全控制，从而可能导致拦截或篡改网络流量、窃取设备敏感信息或发起进一步攻击。

仔细读下，这个漏洞不是在诸位家里跑的路由器上产生影响。他是影响了OpenWrt官方构建镜像的过程。我们通过firmware-selector.openwrt.org或者 attended.sysupgrade CLI upgrade 这两个途径得到的镜像可能会有影响。

这里的两个途径解释如下：

• 其中firmware-selector.openwrt.org是官方提供的镜像选择服务，输入硬件信息，可以匹配相应的固件版本。之前很多人准备将路由器刷写为OpenWrt的时候，可能用过这个工具。

• 而attended.sysupgrade CLI upgrade是提供的一项升级服务，需要额外部署的，参考官网的使用按需镜像服务升级固件

我之前说过，国内怎么快速下载OpenWrt相关的资源，参考OpenWrt国内源配置和使用。其中提到镜像是通过https://downloads.openwrt.org/releases/ 或者这个站点的国内镜像站来下载的。

目前官方没有说这个download站点下载的镜像是否受到影响。官方download站点对应的镜像列表也没有重新更新，最新的23.05.5还是9月份发布的。所以如果用这里的镜像，其实是不用担心的。

所以，评估你机器上跑的固件是否为有问题的固件，或者这个漏洞对你是否有影响，建议从如下几个方面来判断：

1. 你固件从哪儿来的？ 如果是官方下载的，是否通过firmware-selector.openwrt.org找到的；
2. 你是否部署了ASU这个服务，看下是否有这个包：luci-app-attendedsysupgrade，我看了下默认的固件里面没有，如果没有安装，说明不是采用ASU这个服务升级的

如果存在以上情况，建议重新下载新的固件，升级下。

OpenWrt安全扫描情况

在研究这个漏洞的时候，看到OpenWrt在22年以前也发布了一些漏洞，这些肯定都修复了，但是是否有其他的安全风险呢？ 我决定用工具进行扫描一下。看下暴露的端口，进程这些是否存在问题。

OpenWrt固件版本： OpenWrt 23.05.5 x86版本

扫描工具：Nessus 10.8.3

Nussus插件版本：最新更新 整体扫描结果如下：

通过扫描，结果看到只有2个中危风险：一个是ssl自签证书，一个是证书不可信，基本可忽略。总体来说，OpenWrt的安全还是值得信赖的。

关于OpenWrt安全的一些个人看法

但是可能有人会问了，我的固件都是论坛里面自己找的，或者我用的都是各种魔改版本，都是有人编译好的，这种受到前面的这个漏洞的影响么？

这么说吧，如果是这样，基本就不用谈安全了。因为这种情况的安全根本就没有人约束，能编译固件的同学，给你植入点代码，留点后门在里面，其实真的很简单，安全性就靠别人的良心来决定了。

这种其实是安全面临的最大的风险，我们家庭网络，或者企业网络，运营商的边界其实是做了一些基本防护的，正常的由外到内的攻击，其实不一定能攻破。但是你用的路由器存在问题，相当于了个后门，别人想怎么折腾怎么折腾，基本没有什么安全可言，这个和你在外网随便下一个安卓的apk到手机上安装或者随便点击钓鱼邮件是一样的道理。我之前工作中就遇到这种情况，企业内部被钓鱼邮件钓鱼之后，被钓鱼的电脑就被远程控制，沿着这个电脑，所有内网资源，IT系统，文档，账号密码，通讯录什么都被别人拿到了。

可能大家觉得家庭网络没有什么重要信息，但是那些企业内部的网络就该注意了。 如果用了OpenWrt建议实时关注相关的更新。

OpenWrt开源本来是为了路由市场做贡献，但是在使用的过程中，还是需要谨慎。

这里提下我关于安全的一些看法。

1. 如果没有特殊要求，建议选择官方的固件。另外，非必要的插件就不要安装了，尤其那些号称高大全的。
2. 版本建议采用较新的版本。虽然老版本也很稳定，但是新版本可以做了一些安全的更新。
3. 如果如果你对自己的数据安全看的比较重，在小型办公网络，这类场景，还是选择商用解决方案吧。
4. 时刻谨记信息安全