openwrt/asu allows build artifact poisoning via truncated SHA-256 hash and command injection

Un servidor que compila imágenes de OpenWrt utiliza un código de verificación débil (solo 12 caracteres) para identificar solicitudes, permitiendo que atacantes creen imágenes falsas que parecen legítimas. Combinado con inyección de comandos, los atacantes pueden insertar código malicioso en el proceso de compilación y entregar firmware comprometido a los usuarios.

CVE-2024-54143 explota el truncamiento de SHA-256 (12 caracteres) en el mecanismo de solicitudes de openwrt/asu para generar colisiones de hash, permitiendo el envenenamiento de caché de artefactos. Un atacante no autenticado puede combinar esto con inyección de comandos en Imagebuilder para ejecutar comandos arbitrarios durante la compilación, produciendo imágenes firmadas maliciosas que reemplazan compilaciones legítimas.