Freifunk aktualisiert jetzt seine Router-Firmware und schließt eine kritische Sicherheitslücke, durch welche böswillige Angreifer eigene Firmware auf die Geräte aufspielen könnten.
Das Freifunk-Projekt warnt vor einer Sicherheitslücke in der bisherigen Router-Firmware, durch die die Installation unautorisierter Firmware auf den Geräten möglich ist. Ein Update zum Schließen der kritischen Sicherheitslücke steht zum Download bereit.
Die Schwachstelle betrifft die ecdsautils (CVE-2022-24884, CVSS 10.0, Risiko “kritisch”). Deren Funktion ecdsa_verify_[prepare_]legacy() prüft nämlich nicht, ob übergebene Werte eventuell ungleich 0 sind. In der Folge sieht die Funktion deshalb Signaturen als gültig an, die ausschließlich aus Nullen bestehen. Dies macht es natürlich sehr einfach, gültige Signaturen zu fälschen.
Die Schwachstelle ist einfach ausnutzbar
Bösartige Angreifer könnten diese Sicherheitslücke ausnutzen, um ein Update-Manifest zu erstellen, das der Autoupdater akzeptiert. Ein solches Update ließe sich weiterreichend verteilen, indem der Angreifer die Verbindung eines Gluon-Knotens zum Update-Server spooft.
Laut der Sicherheitsmeldung von Freifunk sind alle Versionen des Gluon-Updaters mit Autoupdate betroffen. Die Version 2021.1.2 beseitigt den Fehler. Nicht näher genannte, ältere Gluon-Versionen haben die Entwickler trotz ihres End-of-Lifecycles auch noch mit einem Fix ausgestattet.
Die Freifunker betonen, dass Betreiber von Freifunk-Knoten dringend die aktualisierte Firmware einspielen sollten. Sie wird auch schon per Autoupdate verteilt, aber einige Betreiber haben den Modus eventuell deaktiviert. Sollte der Firmware-Update für ein Router-Modell noch nicht möglich sein, schlagen die Programmierer vor, den Auto-Update-Mechanismus zu deaktivieren. Das ist entweder im Konfigurationsmodus oder alternativ mit folgenden Befehlen machbar:
uci set autoupdater.settings.enabled=0
uci commit autoupdater
Vor der Reaktivierung sollten die Betreiber aber manuell eine aktuelle Firmware installieren.
