Süpürük yönetim denetleyicilerinde kullanılan LightTPD web sunucusunda neredeyse 6 yaşındaki bir güvenlik açığı Intel ve Lenovo dahil birçok cihaz satıcısı tarafından göz ardı edildi.
Güvenlik sorunu, saldırganların adres alanı düzeni randomizasyonu (ASLR) gibi koruma mekanizmalarını atlamasına yardımcı olabilecek işlem belleği adreslerinin eksfiltrasyonuna yol açabilir.
LightTPD, hafif, hızlı ve verimli olduğu bilinen açık kaynaklı bir web sunucusudur, bu da minimum sistem kaynakları tüketirken yüksek trafikli web siteleri için idealdir.
Yakın zamanda süpürgelik yönetim kontrolörlerinin (BMC) taramaları sırasında, Binarly ürün yazılımı güvenlik firmasındaki araştırmacılar, LightTPD Web sunucusu işleme "katlanmış" HTTP istek başlıkları aracılığıyla uzaktan sömürülebilir bir yığın (OOB) güvenlik açığını okuduklarını keşfettiler.
Güvenlik açığı Ağustos 2018'de ele alınmış olsa da, Lighthttpd koruyucuları, bir izleme kimliği (CVE) atamadan 1.4.51 sürümünde sessizce yamaladı.
Bu, AMI Megarac BMC geliştiricilerinin düzeltmeyi kaçırmasına ve ürüne entegre edememesine yol açtı. Güvenlik açığı böylece tedarik zincirini sistem satıcılarına ve müşterilerine kandırdı.
BMC'ler, veri merkezlerinde ve bulut ortamlarında kullanılan sistemler de dahil olmak üzere sunucu sınıfı anakartlara gömülü mikrodenetleyicilerdir, bu da uzaktan yönetimi, yeniden başlatma, izleme ve aygıt yazılımı güncellemesini mümkün kılar.
Binarly, AMI'nin LightTPD düzeltmesini 2019'dan 2023'e kadar uygulayamadığını ve bu yıllar boyunca uzaktan sömürülebilir hataya karşı savunmasız çok sayıda cihazın sunulmasına yol açtığını buldu.
Binarly Binarly, Binarly'nin Binarly şeffaflık platformu verilerine göre, Intel, Lenovo ve Supermicro'dan birden fazla ürünün etkilendiğini görüyoruz. "Dedi.
"Verilerimize dayanarak, yaklaşık 2000'den fazla cihaz alanda etkilenmektedir. Gerçekte bu sayı daha da büyüktür."
Tehdit analistleri, farklı satıcılar ve cihazlar üzerindeki etkisine dayanarak LightTPD güvenlik açığına üç dahili tanımlayıcı atadı:
Etkilenmiş cihazlara sahip satıcılar arasında Binarly, cihazlarındaki sorunu bildiren Intel ve Lenovo da var. Ürün yazılımı güvenlik şirketi, 22 Şubat 2023 kadar yakın zamanda yayınlanan bazı Intel sistemlerini savunmasız bileşeni içeriyor.
Bununla birlikte, her iki satıcı da etkilenen modellerin ömrünün sonuna (EOL) ulaştığını ve artık güvenlik güncellemeleri almadığını, yani hizmet dışı bırakılana kadar savunmasız kalacaklarını söyledi.
Binarly'ye göre, yaşam sonuna ulaşmış ve yamaların eksikliği nedeniyle sonsuza dek savunmasız kalacak olan savunmasız ve halka açık BMC cihazlarının "büyük bir sayısı" var.
Binarly'nin raporu, bir saldırganın bir istismar geliştirmesine izin verebilecek güvenlik açığı ve nasıl çalıştığı hakkında teknik ayrıntılar sağlar. Araştırmacılar, bunun birkaç yıl boyunca uzayabilecek güvenlik riskleri getiren ürün yazılımı tedarik zincirindeki boşlukların başka bir örneği olduğunu belirtiyor.
Şeffaflık eksikliği ve LightTPD koruyucuların güvenlik açığı hakkında farkındalık yaratmamak da soruna katkıda bulunur ve satıcıların gerekli düzeltmeleri zamanında entegre edememesine yol açar.
GÜNCELLEME 4/12 - Lenovo, yukarıdaki raporla ilgili olarak aşağıdaki ifadeyi BleepingComputer'a gönderdi:
Lenovo, Binarly tarafından tanımlanan Ami Megarac endişesinin farkındadır. Lenovo ürünleri için olası etkileri belirlemek için tedarikçimizle birlikte çalışıyoruz.
Xclarity Denetleyicisi (XCC) ve Entegre Yönetim Modülü V2 (IMM2) Sistem X sunucularına sahip ThinkSystem Sunucuları Megarac kullanmaz ve etkilenmez. - Lenovo Sözcüsü
Yeni Spectre V2 Saldırısı, Intel CPU'larda Linux Sistemlerini Etkiler
A sınıfı yenilenmiş 2'si 1 arada Chromebook alın ve 364 $ tasarruf edin
Wazuh'u kullanarak konteyner güvenliği en iyi uygulamalarının uygulanması
Notepad ++ "Parazit Web Sitesi" Kapanışında Yardımınızı İstiyor
Red Hat, çoğu Linux dağıtım tarafından kullanılan XZ araçlarında arka kapı konusunda uyarıyor
Kaynak: Bleeping Computer