Miljoonat kotien reitittimet, älypuhelimet ja muut laitteet alttiina haavoittuvuudelle – vika luotetussa OpenWRT:ssä

05.04.2020 13:21 | Muropaketin toimitus

OpenWRT on ollut luotettu verkkolaitteiden käyttöjärjestelmä. Luotto kuitenkin horjuu tutkijan löydön vuoksi.

Avoimeen lähdekoodiin perustuvassa OpenWRT-käyttöjärjestelmässä on ollut haavoittuvuus jo noin kolmen vuoden ajan. Käyttäjät ovat pitäneet OpenWRT:tä tietoturvallisena valintana, koska siinä on kehittyneitä toimintoja ja se perustuu avoimeen lähdekoodiin.

Tietoturvaspesialisti Guido Vrankenin mukaan kolme vuotta paikkaamatta ollut haavoittuvuus sallii ulkopuolisen koodin ajamisen verkkoon kytketyssä laitteessa, kuten reitittimessä. Ohjelmistoa voi niin ikään ajaa älypuhelimissa, taskutietokoneissa, läppäreissä ja PC:ssä.

Hyökkäykset eivät ole onneksi aivan yksinkertaisia toteuttaa, sillä hyökkääjän täytyisi käyttää man in the midde -hyökkäystä tai saada muutetuksi käyttäjän DNS-palvelin. Sellaisia hyökkäyksiä on olemassa, jotka mahdollistavat DNS-osoitteen muuttamisen.

Vranken onnistui kokeiluissaan luomaan palvelimen, joka esitti downloads.openwrt.org -sivua. Tämän kautta laite latasi haavoittuvuuden hyödyntämisen mahdollistavan päivityksen.

OpenWRT julkaisi korjauksen tammikuun lopussa, mutta Vrankenin mielestä ongelma poistui vain osittain. OpenWRT:n täytyisi vielä ainakin saada pakotettua https-yhteys päivitysten lataamista varten. Suositeltu käyttöjärjestelmäversio, 18.06.7 tai 19.07.1, tuleekin ladata tavallisen selaimen kautta ja päivittää manuaalisesti.