Šta se desilo?

Otkrivena je ozbiljna ranjivost u LuCI web interfejsu za https-dns-proxy paket koji se distribuira kroz OpenWrt zajednicu. Ranjivost omogućava autentifikovanom korisniku sa odgovarajućim dozvolama da izvrši proizvoljan kod na nivou root-a kroz injekciju shell naredbi u funkciju setInitAction.

Koga pogađa?

Ugroženi su vlasnici OpenWrt uređaja koji su instalirali dodatni luci-app-https-dns-proxy paket verzije 2025.12.29-5 ili starije. Ovo nisu podrazumevane instalacije - paket se mora eksplicitno dodati korisničkom sistemu. Standardna OpenWrt instalacija nije pogođena.

Kako se zaštititi?

  • Ažurirajte luci-app-https-dns-proxy paket na najnoviju dostupnu verziju čim je objavljena
  • Ograničite pristup LuCI interfejsu samo na pouzdane korisnike
  • Redovno proveravate koje dodatne pakete imate instalirane na svom OpenWrt uređaju
  • Razmislite o uklanjanju paketa ako ga ne koristite aktivno

Tehnički detalji

Ranjivost je locirana u setInitAction funkciji gde nedostaju validacije za 'name' parametar ubus RPC poziva. Napadač sa luci.https-dns-proxy ACL dozvolom može injektovati shell metakaraktere i izvršiti proizvoljne komande sa root privilegijama na uređaju. Napada se realizuje kroz ubus RPC interfejs koji je dostupan autentifikovanim korisnicima.

Preporuka Sajber Radara

Korisnici OpenWrt-a sa instaliranim luci-app-https-dns-proxy paketom trebaju hitno da prate saopštenja projekta za sigurnosnu zakrpu. U međuvremenu, preporučujemo ograničenje pristupa LuCI interfejsu samo na lokalno mrežu ili specifične IP adrese.