现场有坏人

孩子们,不要怕

路是通的,是他们不跑

林世钰 | 这是凌晨四点零八分的中国(诗一首)

她们生命的最后时光,是在那个屋子里待了一百多天

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击

Catalin Cimpanu 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


向家庭路由器提供免费且可定制的开源项目 OpenWRT 的weihure人员披露称,黑客在上周六下午4点(GMT)左右访问了论坛某名管理员的账户。


OpenWRT 论坛上发布并在 Linux 和 FOSS 邮件列表中分发的信息指出,“目前尚不清楚账户是如何遭访问的。该账户的密码设置很强壮,不过并未使用双因素认证机制”。

OpenWRT 团队表示,虽然攻击者无法下载数据库的完整副本,但确实下载了论坛用户列表,其中包含多种个人详情如论坛用户名和邮件地址。被下载数据中并不包含密码,但“出于谨慎考虑”,OpenWRT 管理员已重置所有论坛用户的密码和 API 密钥。

OpenWRT 项目目前正在通知用户在下次登录账户时,需要走密码恢复流程。如果用户使用 OAuth 令牌也需要走这个流程重新同步账户。



左中括号
发动供应链攻击的好机会
左中括号


此外,OpenWRT 项目管理员也向论坛用户发出警告称,可能会遇到钓鱼邮件尝试增多的情况。

有人或许认为 OpenWRT 论坛账户并没有那么重要,但实际上很多企业的开发人员会光顾该网站,而这些企业一般都是出售和 OpenWRT 兼容的路由器或软件。

攻陷 OpenWRT 上的论坛账户可能是提权访问很多硬件和软件开发企业内网的第一步。因此,OpenWRT 团队正在督促论坛用户不要点击所收到的声称源自 OpenWRT 的邮件,而是应当在浏览器地址栏中手动输入该论坛的 URL 地址 (forum.openwrt.org)。

OpenWRT 项目管理员表示,目前似乎只有论坛用户数据受影响。OpenWRT wiki 目前并未发现受影响迹象。OpenWRT wiki 旨在为用户提供关于如何在多种专有路由器型号上安装固件的官方下载链接和信息。




推荐阅读
2020年十大开源漏洞回顾
SolarWinds 供应链攻击中的第三款恶意软件
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息



原文链接

https://www.zdnet.com/article/openwrt-reports-data-breach-after-hacker-gained-access-to-forum-admin-account/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

文章有问题?点此查看未经处理的缓存