万达哈希,哈希游戏平台,哈希娱乐,哈希游戏该漏洞主要存在于 OpenWrt 的按需镜像服务器 ASU（Attended Sysupgrade）中，该服务支持用户根据自身需求定制固件。

　　或attended.sysupgradeCLI 升级的 OpenWrt 设备。攻击者可以利用该漏洞绕过完整性检查，悄无声息地修改固件，或在固件构建过程中注入恶意命令，最终控制用户设备。

　　: 攻击者可在构建镜像时，通过提交包含恶意命令的软件包列表，将任意命令注入构建过程，将导致生成的固件镜像即使使用合法密钥签名，也能植入恶意代码。

　　:attended.sysupgrade服务的请求哈希机制将 SHA-256 哈希值截断为仅 12 个字符。这种截断大幅降低了哈希的安全性，让攻击者能够轻易制造哈希碰撞。攻击者预先构建恶意镜像，然后利用哈希碰撞，将恶意镜像替换掉合法的镜像，污染 artifact（软件制品）缓存，最终将恶意固件推送给用户。OpenWrt 团队表示，目前没有证据表明

　　提供的镜像受到影响，但由于可见性限制，建议用户安装新生成的镜像，替换可能存在风险的固件。OpenWrt 官方已发布补丁修复了该漏洞，强烈建议用户尽快更新系统，以保障设备安全。

　　广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。