12.04.2024 | 6-летняя бомба в серверах Lenovo и Intel: свыше 2000 устройств придётся отправить в утиль |
Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили некую уязвимость. Её быстро исправили, однако продукты многих крупных производителей оборудования, включая Intel и Lenovo , до сих пор содержат её, подвергая риску конечных пользователей. Но как так вообще получилось? Стоит начать с того, что Lighttpd — это веб-сервер с открытым исходным кодом, известный своим малым весом, скоростью и эффективностью, что делает его идеальным выбором для веб-сайтов с высокой посещаемостью, обеспечивая минимальное потребление системных ресурсов. Исследователи из компании Binarly , специализирующейся на безопасности встроенных программных решений, включая прошивки BIOS и UEFI, с большим удивлением выяснили, что оборудование вышеозвученных производителей всё ещё подвержено этой самой уязвимости шестилетней давности. Проблема была обнаружена во время недавних плановых сканирований контроллеров управления серверными платами ( BMC ). Эксперты обнаружили уязвимость удалённого считывания кучи за пределами границ ( Out-of-bounds ) через веб-сервер Lighttpd, обрабатывающий «свёрнутые» заголовки HTTP-запросов. Как оказалось, хотя уязвимость и была устранена ещё в августе 2018 года, в версии Lighthttpd 1.4.51, разработчики исправили её в автоматическом режиме, без присвоения идентификатора отслеживания (CVE). Это привело к тому, что разработчики контроллеров AMI MegaRAC BMC пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам. Как сообщают исследователи, проблема безопасности может привести к удалённому чтению данных из памяти процессов, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация размещения адресного пространства ( ASLR ). Binarly сообщила, что уязвимые продукты включают устройства от Intel, Lenovo и Supermicro. На сегодняшний день в полевых условиях насчитывается более 2000 уязвимых устройств, а реальное число может быть ещё больше. Аналитики безопасности присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства:
Как Intel, так и Lenovo, подтвердили, что затронутые модели больше не поддерживаются и не получают обновлений безопасности, что делает их уязвимыми до момента утилизации. Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя. Binarly подчёркивает, что уязвимые устройства BMC, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые. Данный инцидент подчёркивает важность прозрачности, своевременности информирования и ответственности всех участников, задействованных в процессе обеспечения безопасности программных и аппаратных продуктов. Только так можно избежать риска для цепочки поставок, чтобы спустя годы не обнаружить, что исправить проблему уже не представляется возможным. |
Проверить безопасность сайта