6-летняя бомба в серверах Lenovo и Intel: свыше 2000 устройств придётся отправить в утиль

Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили некую уязвимость. Её быстро исправили, однако продукты многих крупных производителей оборудования, включая Intel и Lenovo, до сих пор содержат её, подвергая риску конечных пользователей. Но как так вообще получилось?

Стоит начать с того, что Lighttpd — это веб-сервер с открытым исходным кодом, известный своим малым весом, скоростью и эффективностью, что делает его идеальным выбором для веб-сайтов с высокой посещаемостью, обеспечивая минимальное потребление системных ресурсов.

Исследователи из компании Binarly, специализирующейся на безопасности встроенных программных решений, включая прошивки BIOS и UEFI, с большим удивлением выяснили, что оборудование вышеозвученных производителей всё ещё подвержено этой самой уязвимости шестилетней давности.

Проблема была обнаружена во время недавних плановых сканирований контроллеров управления серверными платами (BMC). Эксперты обнаружили уязвимость удалённого считывания кучи за пределами границ (Out-of-bounds) через веб-сервер Lighttpd, обрабатывающий «свёрнутые» заголовки HTTP-запросов.

Как оказалось, хотя уязвимость и была устранена ещё в августе 2018 года, в версии Lighthttpd 1.4.51, разработчики исправили её в автоматическом режиме, без присвоения идентификатора отслеживания (CVE). Это привело к тому, что разработчики контроллеров AMI MegaRAC BMC пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам.

Как сообщают исследователи, проблема безопасности может привести к удалённому чтению данных из памяти процессов, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация размещения адресного пространства (ASLR).

Binarly сообщила, что уязвимые продукты включают устройства от Intel, Lenovo и Supermicro. На сегодняшний день в полевых условиях насчитывается более 2000 уязвимых устройств, а реальное число может быть ещё больше.

Аналитики безопасности присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства:

• BRLY-2024-002: специфическая уязвимость в Lighttpd версии 1.4.45, используемая в прошивках Intel серии M70KLP версии 01.04.0030 (последней), влияющая на определённые модели серверов Intel.
• BRLY-2024-003: специфическая уязвимость в Lighttpd версии 1.4.35 в прошивке Lenovo BMC версии 2.88.58 (последней), используемой в серверных моделях Lenovo HX3710, HX3710-F и HX2710-E.
• BRLY-2024-004: общая уязвимость в веб-серверах Lighttpd версий до 1.4.51, позволяющая считывать конфиденциальные данные из оперативной памяти сервера.

Как Intel, так и Lenovo, подтвердили, что затронутые модели больше не поддерживаются и не получают обновлений безопасности, что делает их уязвимыми до момента утилизации.

Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя.

Binarly подчёркивает, что уязвимые устройства BMC, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые.

Данный инцидент подчёркивает важность прозрачности, своевременности информирования и ответственности всех участников, задействованных в процессе обеспечения безопасности программных и аппаратных продуктов. Только так можно избежать риска для цепочки поставок, чтобы спустя годы не обнаружить, что исправить проблему уже не представляется возможным.