OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

Posted 2021-04-30 代码卫士

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

向家庭路由器提供免费且可定制的开源项目 OpenWRT 的weihure人员披露称，黑客在上周六下午4点（GMT）左右访问了论坛某名管理员的账户。

OpenWRT 论坛上发布并在 Linux 和 FOSS 邮件列表中分发的信息指出，“目前尚不清楚账户是如何遭访问的。该账户的密码设置很强壮，不过并未使用双因素认证机制”。

OpenWRT 项目目前正在通知用户在下次登录账户时，需要走密码恢复流程。如果用户使用 OAuth 令牌也需要走这个流程重新同步账户。

左中括号

发动供应链攻击的好机会

左中括号

此外，OpenWRT 项目管理员也向论坛用户发出警告称，可能会遇到钓鱼邮件尝试增多的情况。

有人或许认为 OpenWRT 论坛账户并没有那么重要，但实际上很多企业的开发人员会光顾该网站，而这些企业一般都是出售和 OpenWRT 兼容的路由器或软件。

OpenWRT 项目管理员表示，目前似乎只有论坛用户数据受影响。OpenWRT wiki 目前并未发现受影响迹象。OpenWRT wiki 旨在为用户提供关于如何在多种专有路由器型号上安装固件的官方下载链接和信息。

推荐阅读

原文链接

https://www.zdnet.com/article/openwrt-reports-data-breach-after-hacker-gained-access-to-forum-admin-account/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~