Uma vulnerabilidade crítica foi descoberta na funcionalidade Attended Sysupgrade (ASU) do OpenWrt, sistema operacional open-source baseado em Linux amplamente utilizado em roteadores, gateways residenciais e dispositivos embarcados. A falha, rastreada como CVE-2024-54143, recebeu uma pontuação CVSS de 9.3, destacando sua gravidade.

Identificada pelo pesquisador da Flatt Security, RyotaK, em 4 de dezembro de 2024, e corrigida na versão ASU 920c8a1, a vulnerabilidade combina uma injeção de comando no processo de criação de imagens com uma colisão de hash truncado SHA-256 usado na solicitação de compilação. Isso possibilita que atacantes criem colisões de hash e injetem comandos arbitrários no processo de construção das imagens, permitindo a produção de firmwares maliciosos assinados com a chave legítima do sistema.

O risco é agravado pela possibilidade de que a colisão de hash de 12 caracteres associada à chave de compilação seja explorada para substituir uma imagem legítima por outra maliciosa previamente criada. Esse cenário representa uma séria ameaça à cadeia de suprimentos, com potencial impacto em dispositivos de usuários finais. Adicionalmente, o OpenWrt destacou que a exploração dessa vulnerabilidade não requer autenticação. Um invasor que consiga enviar solicitações de construção contendo listas de pacotes manipuladas pode induzir o sistema a entregar imagens maliciosas.