严重的RCE错误影响数百万基于OpenWrt的网络设备

一名网络安全研究人员今天披露了影响OpenWrt的关键远程代码执行漏洞的技术细节和概念证明，OpenWrt是一种广泛使用的基于Linux的操作系统，用于路由器，住宅网关和其他路由网络流量的嵌入式设备。漏洞跟踪为CVE-2020-7982，位于OpenWrt的OPKG软件包管理器中，该漏洞存在于它使用签名库索引中嵌入的SHA-256校验和对下载的软件包执行完整性检查的方式中。当在受害系统上调用“ opkg install”命令时，该漏洞可能使远程中间人攻击者能够诱骗系统安装目标设备，以拦截目标设备的通信以执行任意代码。未经验证的恶意软件包或软件更新。如果成功利用，远程攻击者可以完全控制目标OpenWrt网络设备，以及随后对其管理的网络流量的控制。这个三年的漏洞是今年早些时候由ForAllSec ………………………………