Serwery Intel i Lenovo dotknięte 6-letnią luką w BMC
12.04.2024
6-letnia luka w oprogramowaniu Lighttpd używanym w kontrolerach BMC, może umożliwić atakującym omijanie mechanizmów ochronnych takich jak ASLR (Address Space Layout Randomization).
Podatność, która została zaadresowana już w sierpniu 2018 roku, nie została odpowiednio zakomunikowana przez utrzymujących Lighttpd, co spowodowało, że producenci oprogramowania BMC, w tym AMI MegaRAC, przeoczyli tę poprawkę. W rezultacie, luka bezpieczeństwa przeszła przez cały łańcuch dostaw do producentów systemów i ich klientów.
Firma Binarly, zajmująca się bezpieczeństwem oprogramowania układowego, odkryła, że AMI nie zastosowało poprawki Lighttpd od 2019 do 2023 roku, co doprowadziło do wypuszczenia na rynek dużej liczby urządzeń podatnych na zdalnie wykorzystywalną lukę przez te lata.
Wśród producentów z dotkniętymi urządzeniami znajdują się Intel i Lenovo, którzy zostali poinformowani przez Binarly o problemie w ich urządzeniach. Oba przedsiębiorstwa stwierdziły, że dotknięte modele osiągnęły koniec swojego cyklu życia (EOL) i nie otrzymują już aktualizacji bezpieczeństwa, co oznacza, że prawdopodobnie pozostaną podatne, aż do ich wycofania.
- BRLY-2024-002: luka w Lighttpd w wersji 1.4.45 używana w oprogramowaniu układowym Intel M70KLP series w wersji 01.04.0030 (najnowsza)
- BRLY-2024-003: luka w Lighttpd w wersji 1.4.35 w oprogramowaniu układowym Lenovo BMC w wersji 2.88.58 (najnowszej) używanym w modelach serwerów Lenovo HX3710, HX3710-F i HX2710-E.
- BRLY-2024-004: luka w zabezpieczeniach serwera WWW Lighttpd w wersji wcześniejszej niż 1.4.51, umożliwiająca odczyt poufnych danych z pamięci procesu serwera.
Daniel Wysocki
Daniel Wysocki to absolwent wydziału Inżynierii Mechanicznej i Robotyki na Akademii Górniczo-Hutniczej w Krakowie.
Jego kariera w branży IT trwa już dwie dekady, podczas których zdobył bogate doświadczenie i umiejętności.
Obecnie pełni funkcję Kierownika Działu Cyberbezpieczeństwa w firmie Advatech, lidera w dostarczaniu nowoczesnych rozwiązań technologicznych. Jako ekspert od cyberbezpieczeństwa, nieustannie poszukuje i wprowadza w życie najnowocześniejsze i najskuteczniejsze rozwiązania do ochrony danych i infrastruktury IT. Korzysta z innowacyjnych osiągnięć branży cyberbezpieczeństwa, aby zapewnić najwyższy poziom zabezpieczeń i odporności na ataki.