V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2024-54143Критический

openwrt/asu — это сервер изображений по запросу для дистрибутивов на основе OpenWrt. Механизм хеширования запросов усекает хеши SHA-256 тол…

CVSS
9.3
Критический
EPSS
0.02
p76
Опубликовано
2024-01-01
Обновлено
2024-01-01
Описание

openwrt/asu — это сервер изображений по запросу для дистрибутивов на основе OpenWrt. Механизм хеширования запросов усекает хеши SHA-256 только до 12 символов. Это значительно снижает энтропию, что позволяет злоумышленнику создавать коллизии. Используя это, ранее созданное вредоносное изображение может быть предоставлено вместо законного, что позволяет злоумышленнику «отравить» кэш артефактов и доставлять скомпрометированные изображения ничего не подозревающим пользователям. Это можно комбинировать с другими атаками, такими как внедрение команд в Imagebuilder, которое позволяет злоумышленникам внедрять произвольные команды в процесс сборки, что приводит к созданию вредоносных образов прошивки, подписанных законным ключом сборки. Это было исправлено с помощью 920c8a1.

Теги · CWE
Без аутентификации
CWE-328
CAPEC-68
CAPEC-461
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2024-01-01
Опубликована
2024-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.019 · p76
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-68 · CWE-328
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.
Связанные уязвимости
BDU:2024-10959