Разделы

ПО Софт Телеком Инфраструктура Интернет Веб-сервисы Интернет-ПО Техника

«Железо» Lenovo и Intel все еще страдает от уязвимости шестилетней давности

Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили уязвимость. Слабое место быстро исправили, однако продукты многих крупных производителей оборудования, включая Intel и Lenovo, до сих пор содержат ее, подвергая риску конечных пользователей.

Проявление исправленной уязвимости

Исследователи специализирующейся на безопасности встроенных программных решений из компании Binarly, с большим удивлением выяснили, что оборудование Lenovo и Intel все еще на апрель 2024 г. подвержено уязвимости шестилетней давности.

Веб-сервера Lighttpd, известные своей высокой скоростью работы и безопасной обработкой веб-контента, является оптимальным выбором для обслуживания сайтов и веб-приложений с высокой посещаемостью. Его событийно-ориентированная архитектура обеспечивает минимальное использование памяти при управлении множеством параллельных соединений. Модульная структура позволяет значительно расширить возможности настройки, что повышает его надежность при доставке веб-контента. Его расширенные возможности, включая FastCGI, SCGI, Auth, Output-Compression и URL-Rewriting, еще больше увеличивают его универсальность.

Проблема была обнаружена в 2018 г. во время плановых сканирований контроллеров управления серверными платами. Эксперты обнаружили уязвимость удаленного считывания за пределами границ out-of-bounds через веб-сервер Lighttpd, обрабатывающий свернутые заголовки HTTP-запросов. Разработчики исправили ее в автоматическом режиме, без присвоения идентификатора отслеживания (CVE) в версии Lighthttpd 1.4.51. С апдейтом можно ознакомиться по ссылке.

Цепочка поставок программного обеспечения (ПО) на апрель 2024 г. сложна, и все связанные с ней проблемы быстро решаемы. Зачастую ПО, использующее компоненты с открытым исходным кодом, не использует каждое отдельное обновление, поступающее от сопровождающих OSS, а отслеживает только критические изменения или важные исправления безопасности, которые необходимо применить.

Оборудование производителей Lenovo и Intel все еще подвержено уязвимости шестилетней давности

По данным Binarly, трудно отслеживать каждое изменение, связанное с проблемами безопасности, без специальных рекомендаций по безопасности и назначенного CVE. Это привело к тому, что разработчики контроллеров AMI MegaRAC управления серверными платами в 2024 г. пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам.

Андрей Врацкий, eXpress: Требования клиентов растут,  просто видеоконференцсвязи уже недостаточно
Телеком

В мире прошивок ситуация еще хуже, а используемые компоненты не обновляются уже много лет. Именно это произошло с Lighttpd, когда разработчики AMI MegaRAC не использовали исправления безопасности для удаленной уязвимости 2018 г., когда сопровождающие Lighttpd передали его в исходную версию. Эта конкретная уязвимость была обнаружена во многих различных устройствах, поскольку многие производители устройств, включая Intel и Lenovo, используют AMI MegaRAC.

Команда Binarly возглавила скоординированное раскрытие этой уязвимости Группа реагирования на инциденты безопасности продуктов (PSIRT) как Intel, так и Lenovo. Обе компании отказались исправить или подтвердить отчет об уязвимости на 12 апреля 2024 г., поскольку соответствующие продукты недавно достигли статуса окончания срока службы и больше не будут получать исправления безопасности.

Идентификаторы уязвимости

Аналитики Binarly присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства. BRLY-2024-002 - специфическая уязвимость в Lighttpd версии 1.4.45, используемая в прошивках Intel серии M70KLP версии 01.04.0030, влияющая на определенные модели серверов Intel. BRLY-2024-003 - специфическая уязвимость в Lighttpd версии 1.4.35 в прошивке Lenovo BMC версии 2.88.58, используемой в серверных моделях Lenovo HX3710, HX3710-F и HX2710-E. BRLY-2024-004 - общая уязвимость в веб-серверах Lighttpd версий до 1.4.51, позволяющая считывать конфиденциальные данные из оперативной памяти сервера.

Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя. Все эти годы уязвимость присутствовала внутри прошивки, и никто не заботился об обновлении одного из сторонних компонентов, использованных для сборки этого образа, включая и последнюю версию прошивки.

Как удалось обнаружить

Простая проверка целостности прошивки не поможет во всех случаях, поэтому это стало причиной внедрения комплексного механизма сканирования прошивки Binarly, который способен обнаруживать все выявленные уязвимости автономным федеральным агентством США (CISA), а также другие известные и неизвестные проблемы, связанные с контроллерами управления основной платой. Binarly использовала платформу бинарной прозрачности для обнаружения уязвимостей в управлении серверными платами.

Специалисты из Binarly отмечают и тот факт, что уязвимые устройства управления серверными платами, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые.

Найденная старая уязвимость командой Binarly лишь подчеркивает важность прозрачности, своевременности информирования и ответственности всех участников ИТ-рынка. Лишь этот подход будет гарантировать защиту и стабильность цепочки поставок, предотвращая возможные проблемы в будущем и обеспечивая способность реагировать и решать возникающие вопросы в течение всего периода их существования.

Антон Денисенко