● 虹科Vdoo安全研究團(tuán)隊(duì)不斷研究領(lǐng)先的嵌入式設(shè)備及其供應(yīng)鏈，在RAUC 嵌入式固件更新框架中發(fā)現(xiàn)的重大漏洞——

● CVE-2020-25860是一個(gè)潛在的嚴(yán)重漏洞，其在RAUC中的 CVSSv3 得分為 8.8。此漏洞存在于 RAUC 的所有版本中，直到 1.5，其中包含補(bǔ)丁。

該漏洞是一個(gè) Time-of-Check-Time-of-Use （ CWE-367 ） 問(wèn)題允許有權(quán)限的攻擊者在固件更新文件被驗(yàn)證后（但在安裝完成前）覆蓋它，從而允許安裝一個(gè)任意的固件更新，繞過(guò)加密簽名檢查機(jī)制。

● 與供應(yīng)鏈漏洞一樣，很難準(zhǔn)確估計(jì)有多少設(shè)備受其影響。鑒于RAUC這是一個(gè)開(kāi)源工具，而且許多與供應(yīng)商沒(méi)有關(guān)系的不同公司都可以使用它，因此這種估計(jì)更加復(fù)雜。

RAUC背景

RAUC—Robust Auto-Update Controller，該項(xiàng)目始于 2015 年，被開(kāi)發(fā)為輕量級(jí)工具，可為基于 Linux 的嵌入式設(shè)備執(zhí)行故障安全的圖像更新。 RAUC 允許嵌入式 Linux 開(kāi)發(fā)人員在他們的嵌入式設(shè)備上集成一個(gè)強(qiáng)大的更新客戶端，只需最少的努力，同時(shí)避免編寫任何更新代碼。RAUC框架支持許多常見(jiàn)的引導(dǎo)程序（U-Boot、grub等）和存儲(chǔ)技術(shù)（ext4、UBIFS等），因此，它試圖盡可能地接近嵌入式設(shè)備固件更新的 “統(tǒng)包”解決方案。 RAUC 的主要特性是安全性（原子性、故障安全更新操作）、保障性（加密簽名檢查）和可定制性（在安裝過(guò)程中添加用戶掛鉤）。

技術(shù)深究

RAUC 使用捆綁文件作為保存新固件的存檔。我們發(fā)現(xiàn)在固件升級(jí)過(guò)程中，此文件可以被攻擊者替換（在初始驗(yàn)證步驟之后），并且通過(guò)這樣做會(huì)安裝惡意固件，從而有效地允許攻擊者控制系統(tǒng)。運(yùn)行rauc install bundle.raucb時(shí)RAUC 會(huì)運(yùn)行以下內(nèi)部函數(shù)：

check_bundle（） – 使用 openssl 庫(kù)調(diào)用驗(yàn)證包

mount_bundle（） – 使用“mount”shell 調(diào)用掛載包

在這些步驟之后，安裝的包被提取并覆蓋當(dāng)前固件。關(guān)鍵問(wèn)題在于一旦 check_bundle（） 完成運(yùn)行，捆綁文件就會(huì)關(guān)閉，并且不會(huì)以任何方式保留已驗(yàn)證的數(shù)據(jù)。當(dāng) mount_bundle（）開(kāi)始運(yùn)行時(shí)，mountshell 調(diào)用會(huì)導(dǎo)致重新讀取包數(shù)據(jù)：

gboolean mount_bundle（RaucBundle *bundle， GError **error）{...g_message（“Mounting bundle ‘%s’ to ‘%s’”， bundle-》path， mount_point）;

res = r_mount_loop（bundle-》path， mount_point， bundle-》size，...gboolean r_mount_full（const gchar *source， const gchar *mountpoint， const gchar* t

gboolean r_mount_full（const gchar *source， const gchar *mountpoint， const gchar* type， goffset size， const gchar* extra_options， GError **error）{...if （getuid（） ！= 0） { g_ptr_array_add（args， g_strdup（“sudo”））;

g_ptr_array_add（args， g_strdup（“--non-interactive”））; } g_ptr_array_add（args， g_strdup（“mount”））;...g_ptr_array_add（args， g_strdup（source））;...sproc = r_subprocess_newv（args， G_SUBPROCESS_FLAGS_NONE， &ierror）;...

因此——攻擊者可以在調(diào)用 check_bundle（） 和mount_bundle（） 之間切換包文件。這讓攻擊者可以部署任意惡意固件，基本上可以在設(shè)備上提供root權(quán)限。

圖 ：攻擊流程，當(dāng)進(jìn)程到達(dá) mount_bundle（） 時(shí)，攻擊者可以替換包文件，因此 RAUC 將掛載未經(jīng)授權(quán)的包

贏得競(jìng)爭(zhēng)條件（在檢查/掛載包調(diào)用之間替換包文件）的機(jī)會(huì)非常高，因?yàn)樵诎╯hell 調(diào)用（“mount”命令）在內(nèi)的兩個(gè)操作之間存在不可忽略的代碼量，這是一個(gè)非常緩慢的操作。

觀察到的遠(yuǎn)程攻擊場(chǎng)景

盡管在大多數(shù)情況下，虹科認(rèn)為該漏洞可作為本地權(quán)限升級(jí)加以利用，但我們觀察到一個(gè)真實(shí)場(chǎng)景，即遠(yuǎn)程攻擊者可利用一組默認(rèn)硬編碼憑據(jù)利用該漏洞。目標(biāo)設(shè)備使用了一組默認(rèn)的硬編碼憑據(jù)（用戶名和密碼設(shè)置為“admin”），首次登錄時(shí)不需要更改這些憑據(jù)。這些憑證可以被能夠訪問(wèn)設(shè)備固件的攻擊者輕易提取，或者通過(guò)簡(jiǎn)單的暴力攻擊來(lái)猜測(cè)。

查看設(shè)備的攻擊面：

目標(biāo)設(shè)備暴露了一個(gè)經(jīng)過(guò)認(rèn)證的 CGI 端點(diǎn)upload.cgi，它允許將任意文件上傳到硬編碼的文件路徑 -/tmp/rauc/bundle.raucb

目標(biāo)設(shè)備暴露了一個(gè)經(jīng)過(guò)認(rèn)證的 CGI 端點(diǎn)install.cgi，該端點(diǎn)運(yùn)行硬編碼的 shell 命令 -rauc install /tmp/rauc/bundle.raucb

兩個(gè) CGI 端點(diǎn)之間沒(méi)有適當(dāng)?shù)逆i定機(jī)制

在這種情況下，攻擊者可以遠(yuǎn)程接管設(shè)備，只需調(diào)用：

upload.cgi 帶有正確簽名的固件

install.cgi

（很快）upload.cgi帶有惡意固件

本地攻擊場(chǎng)景和PoC

假設(shè)本地用戶有調(diào)用 RAUC 的權(quán)限（例如，通過(guò)只允許rauc命令的 sudo 配置），但沒(méi)有簽署RAUC捆綁包所需的私鑰，利用是沒(méi)有價(jià)值的：將正確簽名的固件復(fù)制到某個(gè)路徑，例如： 。/bundle.raucb Invoke RAUC –sudo rauc install./bundle.raucb迅速用惡意的固件替換。/bundle.raucb

如果本地用戶無(wú)法調(diào)用 RAUC 命令，假設(shè)調(diào)用 RAUC 命令的特權(quán)用戶使用攻擊者可以寫入的路徑，則這種情況也可以被利用。我們開(kāi)發(fā)了一個(gè)概念驗(yàn)證，它利用了這個(gè)確切的場(chǎng)景：

PoC 接受要替換的包文件的完整路徑

PoC通過(guò)監(jiān)控一個(gè)默認(rèn)目錄（/mnt/rauc）來(lái)等待另一個(gè)用戶運(yùn)行rauc安裝，該目錄在驗(yàn)證步驟之后但在安裝步驟之前被創(chuàng)建。

一旦驗(yàn)證結(jié)束（目錄被創(chuàng)建），PoC 就會(huì)用任意的輸入覆蓋包文件。

攻擊的bundle文件可以被移到正確簽名的bundle文件上（這比在正確的位置寫一個(gè)新文件要快）。

作為設(shè)備供應(yīng)商

如何知道設(shè)備是否受此漏洞的影響？

可以通過(guò)在您的設(shè)備上運(yùn)行此命令來(lái)檢查您的RAUC 版本是否存在漏洞：

rauc --version

如果報(bào)告的版本低于1.5，則您的設(shè)備包含有漏洞的代碼。實(shí)際上，只有當(dāng)本地或遠(yuǎn)程攻擊者有可能在安裝捆綁包時(shí)修改該文件，該設(shè)備才會(huì)有漏洞。例如，這可能發(fā)生在以下情況：

非特權(quán)用戶可以通過(guò)sudo機(jī)制、setuid機(jī)制或任何其他專有機(jī)制，以root權(quán)限調(diào)用rauc命令。例如，/etc/sudoers文件中的以下行將允許“vdoo”用戶以 root 身份調(diào)用RAUC：

vdoo ALL=（root） /usr/bin/rauc

rauc install可以由非特權(quán)用戶修改的捆綁路徑隨時(shí)調(diào)用。例如：

/usr/bin/rauc install /tmp/mybundle.raucb

由于/tmp默認(rèn)情況下是全局可寫的，因此通常任何用戶都可以修改其下的文件。

虹科Vdoo 在其Vision平臺(tái)中添加了一個(gè)適用性掃描器，可以通過(guò)檢測(cè)所有RAUC 調(diào)用并檢查相關(guān)安裝路徑的權(quán)限來(lái)自動(dòng)驗(yàn)證是否發(fā)生這種情況，為您的設(shè)備保駕護(hù)航。

作為資產(chǎn)所有者

如何知道部署的設(shè)備是否存在漏洞？

不幸的是，似乎很難判斷此漏洞是否存在，更重要的是，僅僅使用網(wǎng)絡(luò)工具或不實(shí)際查看設(shè)備代碼，就很難適用。

如果您的設(shè)備供應(yīng)商為設(shè)備提供了軟件物料清單 （SBOM），請(qǐng)查看是否使用了 RAUC，如果使用了，那么理論上您很可能容易受到攻擊（除非版本明確列為 1.5），因?yàn)橛新┒创a存在。但這并不意味著該漏洞是可利用的。如有需要，請(qǐng)隨時(shí)聯(lián)系虹科Vdoo為您提供幫助。

如果無(wú)法升級(jí)RAUC

如何降低風(fēng)險(xiǎn)？

如上所述，這是一個(gè)經(jīng)典的Time-of-Check-Time-of-Use 漏洞，其中攻擊利用非原子性的動(dòng)作，涉及到對(duì)資源的檢查和資源的使用。在這種情況下，進(jìn)行簽名檢查，用法為安裝/升級(jí)。

通過(guò)確保安裝是原子性的并且從安全路徑發(fā)生，可以減輕攻擊。在運(yùn)行rauc install之前，將捆綁文件從全局可寫位置復(fù)制到安全位置（僅限 root 可寫）并從該路徑運(yùn)行安裝。使用安全位置的存在作為鎖定機(jī)制。這將確保未經(jīng)授權(quán)的用戶（無(wú)論是本地還是遠(yuǎn)程）無(wú)法插手安裝過(guò)程。

這可以通過(guò)這個(gè)示例 shell 腳本來(lái)完成：

# Assuming firmware is uploaded to /tmp/uploads/bundle.bin# Assuming /data/fw_upgrade can be written to only by rootif ［ ！ -e /data/fw_upgrade/bundle.bin ］;

then cp /tmp/uploads/bundle.bin /data/fw_upgrade/bundle.bin /usr/bin/rauc install /data/fw_upgrade/bundle.bin rm /data/fw_upgrade/bundle.binfi

請(qǐng)注意，在使用像Yocto這樣的構(gòu)建系統(tǒng)時(shí)，更改安裝腳本可能并不比切換到固定的RAUC版本容易得多。

﹀

﹀

﹀

附錄-虹科Vdoo安全性防護(hù)平臺(tái)

虹科Vdoo是端到端的產(chǎn)品安全分析平臺(tái)，在整個(gè)產(chǎn)品生命周期中自動(dòng)化所以軟件安全任務(wù)，確保所有安全問(wèn)題得到優(yōu)先處理、溝通和緩解。垂直無(wú)關(guān)的平臺(tái)使各種行業(yè)的設(shè)備制造商和部署者能夠跨多個(gè)業(yè)務(wù)線擴(kuò)展其產(chǎn)品安全功能。虹科Vdoo自動(dòng)保護(hù)連接產(chǎn)品的方法使客戶大大縮短了上市時(shí)間，減少了資源需求，增加了銷售量，降低了總體風(fēng)險(xiǎn)。

責(zé)任編輯：haq