信息来源：E安全

近日据外媒报道，一名安全研究人员披露了基于OpenWrt linux的网络设备操作系统的关键远程代码执行漏洞，还公布了漏洞技术细节，并且将漏洞追踪为CVE-2020-7982。

据悉，CVE-2020-7982是一个影响操作系统的重要远程代码执行漏洞，它被广泛地用于与路由器和住宅网关等网络设备有关的基于linux的操作系统。根据数据统计，该漏洞存在于OpenWrt网络设备的OPKG管理器中，它与使用嵌入在签名存储库索引中的SHA-256校验和对下载包执行完整性检查的方式有关。

同时，专家发现，当“安装”命令在目标用户系统上执行时，远程攻击者可以利用该漏洞来拦截目标设备的通信信息，从而通过欺骗用户安装恶意程序包或软件更新来执行恶意代码。一旦可以成功利用该漏洞，远程攻击者就可以获得对OpenWrt网络设备的完全控制权。

攻击者为了对该漏洞进行利用，他们需要给Web服务器提供受损的软件包。他们还必须能够同时拦截和替换设备与downloads.openwrt.org之间的通信，控制设备使用的DNS服务器应用。

目前，该漏洞影响版本包括18.06.0至18.06.6和19.07.0版本，以及LEDE 17.01.0到17.01.7版本。专家称，当校验过程包含任何前导空间时，操作系统上的OPKG 实用程序则无法检查下载包的完整性，也无法进行安装。

为了解决这个问题，OpenWRT从软件包列表中删除了SHA256sum空间，但是这不是一个成熟的长期解决方案，因为攻击者可以简单地通过由OpenWRT维护者签名较旧的软件包列表进行相关操作。