安全研究員報告,流行的路由器發行版 OpenWRT容易受到遠程代碼執行攻擊,原因是它的更新是通過未加密渠道傳輸的,其數字簽名驗證很容易繞過。OpenWRT 被廣泛用于路由器和其它嵌入式系統。
安全研究員 Guido Vranken 發現它的更新和安裝文件是通過 HTTP 連接傳輸的,容易受到中間人攻擊,攻擊者可以用惡意更新文件去替換合法更新文件。
除此之外,它的數字簽名檢查和驗證也很容易繞過,驗證函數 checksum_hex2bin 存在 bug,在輸入字符串前加空格可繞過檢查,該 bug 是在 2017 年 2 月引入的。
組合這兩個弱點攻擊者可以向設備發送惡意更新并自動安裝。OpenWRT 維護者已經釋出了更新部分修復了問題。
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
OpenWrt
+關注
關注
10文章
130瀏覽量
39296
發布評論請先 登錄
相關推薦
加密算法在云計算中如何應用?
/TLS協議,確保數據在客戶端和服務器之間安全傳輸。存儲加密技術如AES(高級加密標準),保護存儲在云端的數據不被未經授權的用戶訪問。 身份驗證 : 通過對用戶進行身份驗證,確保只有授
Banana Pi與OpenWrt開源社區合作 OpenWrt One 評測:探索未來和亮點
路由器和設備。還有更多人聲稱通過操作系統的分支運行 OpenWrt,但這些不是由 OpenWrt 團隊開發的。目前,開發人員已與Banana Pi聯手設計自己的路由器板,借鑒他們在 BPI-R4
發表于 12-14 12:44
ADS1248測溫容易受干擾,導致芯片不輸出激勵電流,測溫錯誤,怎么解決?
ADS1248(四線制)測溫容易受干擾,導致芯片不輸出激勵電流,測溫錯誤,必須復位控制器才能重新測溫,請問有沒有好的解決辦法
發表于 12-13 07:31
TPS50601A-SP最壞情況分析未加密PSpice平均模型用戶指南
電子發燒友網站提供《TPS50601A-SP最壞情況分析未加密PSpice平均模型用戶指南.pdf》資料免費下載
發表于 11-29 16:23
?0次下載
在跨境電商中,如何確保網絡節點的安全性和合規性?
的協議如HTTPS來保護數據免受中間人攻擊,并確保所有數據傳輸都通過安全的網絡節點進行。 2、合規性:了解并遵守目標市場的法律法規是確保合規性的關鍵。這包括數據保護法規、消費者權益法、
空調協議轉Modbus協議網關支持TSL/SSL加密傳輸
TSL/SSL加密傳輸是一種通過在網絡通信中建立加密通道來保護數據安全性與完整性的重要技術,而我們鋇錸空調協議網關BL120AC所支持的數據加密傳輸也是TSL/SSL。 TSL/SSL
ESP8266 AT命令固件是否受KRACK影響?
19:34:38)
SDK版本:2.1.0(116b762)
編譯時間:Sep 20, 2017 20:32:34
OK
此版本是否受 KRACK(WPA2 攻擊)影響?
發表于 07-16 06:07
請問esp-now如何確定消息是否加密?
使用
esp_now_add_peer(MAC1, ESP_NOW_ROLE_COMBO, CHANNEL, key, sizeof(key));
現在的問題是,我仍然可以接收未加密的消息,例如廣播消息。而且我無法發現它們實際上是未加密的!因此,任何
發表于 07-09 07:14
DTU如何運用VPN加密技術提升數據傳輸安全?
在當前的物聯網時代,數據的安全傳輸顯得尤為重要。DTU作為一款通過無線通信網絡進行傳送的無線終端設備,其在氣象、水文水利、地質等行業的應用中,對于數據傳輸的安全性有著極高的要求。本文將探討如何
基于 FPGA 的光纖混沌加密系統
128 位組成(原因是我們每次加密的數據是 128 位)。對于每一個子幀,幀頭為起始的 16 位數據,具有和其他 112 位數據不一樣 的脈寬長度,便于后續的幀解析。
通過我們的設計,即使傳輸
發表于 04-26 17:18
可以通過BLE將UART格式的數據從PSoC-4 BLE傳輸到PC,而不必在PC端使用Cypress BLE加密狗嗎?
我想通過 BLE 將 UART 格式的數據從 PSoC-4 BLE 傳輸到 PC,而不必在 PC 端使用 Cypress BLE 加密狗。 我想知道這是否可能。
注意:我已經 在 github 中試
發表于 01-30 07:13
即將推出的 OpenWrt One/AP-24.XY:OpenWrt官方 和 Banana Pi官方合作路由器板
OpenWrt開發人員正在與Banana Pi合作開發OpenWrt One/AP-24.XY路由器板。OpenWrt 是一個輕量級嵌入式 Linux 操作系統,支持近 1,800 個路由器和其他設備。然而,這將是第一塊由
即將推出的 OpenWrt One/AP-24.XY:OpenWrt 和 Banana Pi 合作路由器板
的制造和分銷。
截至OpenWrt 23.05 版本,近 1,800 個路由器和其他設備正式受到輕量級嵌入式 Linux 操作系統的支持,還有更多設備聲稱通過操作系統的分支運行 OpenWrt。但這些
發表于 01-13 09:56
微軟2024年首個補丁周二修復49項安全漏洞,其中2項為嚴重級別
值得關注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當之無愧的“年度最危險漏洞”。據悉,此漏洞可使黑客發動中間人攻擊,通過假冒 Kerberos 認證服務器欺
評論