6-летняя бомба в серверах Lenovo и Intel: свыше 2000 устройств придётся отправить в утиль

Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили некую уязвимость. Её быстро исправили, однако продукты многих крупных производителей оборудования, включая Intel и Lenovo , до сих пор содержат её, подвергая риску конечных пользователей. Но как так вообще получилось?

Стоит начать с того, что Lighttpd — это веб-сервер с открытым исходным кодом, известный своим малым весом, скоростью и эффективностью, что делает его идеальным выбором для веб-сайтов с высокой посещаемостью, обеспечивая минимальное потребление системных ресурсов.

Исследователи из компании Binarly , специализирующейся на безопасности встроенных программных решений, включая прошивки BIOS и UEFI, с большим удивлением выяснили, что оборудование вышеозвученных производителей всё ещё подвержено этой самой уязвимости шестилетней давности.

Проблема была обнаружена во время недавних плановых сканирований контроллеров управления серверными платами ( BMC ). Эксперты обнаружили уязвимость удалённого считывания кучи за пределами границ ( Out-of-bounds ) через веб-сервер Lighttpd, обрабатывающий «свёрнутые» заголовки HTTP-запросов.

Как оказалось, хотя уязвимость и была устранена ещё в августе 2018 года, в версии Lighthttpd 1.4.51, разработчики исправили её в автоматическом режиме, без присвоения идентификатора отслеживания (CVE). Это привело к тому, что разработчики контроллеров AMI MegaRAC BMC пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам.

Как сообщают исследователи, проблема безопасности может привести к удалённому чтению данных из памяти процессов, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация размещения адресного пространства ( ASLR ).

Binarly сообщила, что уязвимые продукты включают устройства от Intel, Lenovo и Supermicro. На сегодняшний день в полевых условиях насчитывается более 2000 уязвимых устройств, а реальное число может быть ещё больше.

Аналитики безопасности присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства:

• BRLY-2024-002: специфическая уязвимость в Lighttpd версии 1.4.45, используемая в прошивках Intel серии M70KLP версии 01.04.0030 (последней), влияющая на определённые модели серверов Intel.
• BRLY-2024-003: специфическая уязвимость в Lighttpd версии 1.4.35 в прошивке Lenovo BMC версии 2.88.58 (последней), используемой в серверных моделях Lenovo HX3710, HX3710-F и HX2710-E.
• BRLY-2024-004: общая уязвимость в веб-серверах Lighttpd версий до 1.4.51, позволяющая считывать конфиденциальные данные из оперативной памяти сервера.

Как Intel, так и Lenovo, подтвердили, что затронутые модели больше не поддерживаются и не получают обновлений безопасности, что делает их уязвимыми до момента утилизации.

Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя.

Binarly подчёркивает, что уязвимые устройства BMC, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые.

Данный инцидент подчёркивает важность прозрачности, своевременности информирования и ответственности всех участников, задействованных в процессе обеспечения безопасности программных и аппаратных продуктов. Только так можно избежать риска для цепочки поставок, чтобы спустя годы не обнаружить, что исправить проблему уже не представляется возможным.