OpenWrt, gömülü sistemler için geliştirilmiş bir işletim sistemidir. Özellikle network sistemlerinde router’larda çokça kullanılmaktadır.
Bir güvenlik araştırmacısının keşfettiği RCE zafiyeti ile saldırganlar OpenWrt üzerinde uzaktan kod çalıştırmak suretiyle sistemlerim istismar edilebileceği keşfetti.
Zafiyet OpenWrt’tin paket yöneticsi olan opkg’de bulunuyor ve CVE-2020-7982 kodu ile takip edilebilir durumda.
Zafiyetin detaylarına baktığımızda, saldırganların OpenWrt depo sunucuları ile kullanıcı arasına girip ve kullanıcının paket yüklemeye çalıştığında paket yükleyicisindeki zafiyet sayesinde paket doğrulamasını atlatarak sistem üzerinde tam yetkili olabiliyor.
OpenWrt yetkilileri zafiyeti kabul ederken, sistemlerin son sürüm olan 18.06.7 ve 19.07.1 sürümlerine yükseltmelerini önerdi.
