信息來源：E安全

近日據外媒報道，一名安全研究人員披露了基于OpenWrt linux的網絡設備操作系統的關鍵遠程代碼執(zhí)行漏洞，還公布了漏洞技術細節(jié)，并且將漏洞追蹤為CVE-2020-7982。

據悉，CVE-2020-7982是一個影響操作系統的重要遠程代碼執(zhí)行漏洞，它被廣泛地用于與路由器和住宅網關等網絡設備有關的基于linux的操作系統。根據數據統計，該漏洞存在于OpenWrt網絡設備的OPKG管理器中，它與使用嵌入在簽名存儲庫索引中的SHA-256校驗和對下載包執(zhí)行完整性檢查的方式有關。

同時，專家發(fā)現，當“安裝”命令在目標用戶系統上執(zhí)行時，遠程攻擊者可以利用該漏洞來攔截目標設備的通信信息，從而通過欺騙用戶安裝惡意程序包或軟件更新來執(zhí)行惡意代碼。一旦可以成功利用該漏洞，遠程攻擊者就可以獲得對OpenWrt網絡設備的完全控制權。

攻擊者為了對該漏洞進行利用，他們需要給Web服務器提供受損的軟件包。他們還必須能夠同時攔截和替換設備與downloads.openwrt.org之間的通信，控制設備使用的DNS服務器應用。

目前，該漏洞影響版本包括18.06.0至18.06.6和19.07.0版本，以及LEDE 17.01.0到17.01.7版本。專家稱，當校驗過程包含任何前導空間時，操作系統上的OPKG 實用程序則無法檢查下載包的完整性，也無法進行安裝。

為了解決這個問題，OpenWRT從軟件包列表中刪除了SHA256sum空間，但是這不是一個成熟的長期解決方案，因為攻擊者可以簡單地通過由OpenWRT維護者簽名較舊的軟件包列表進行相關操作。