6-letnia luka w BMC

Serwery Intel i Lenovo dotknięte 6-letnią luką w BMC

12.04.2024

6-letnia luka w oprogramowaniu Lighttpd używanym w kontrolerach BMC, może umożliwić atakującym omijanie mechanizmów ochronnych takich jak ASLR (Address Space Layout Randomization).

Podatność, która została zaadresowana już w sierpniu 2018 roku, nie została odpowiednio zakomunikowana przez utrzymujących Lighttpd, co spowodowało, że producenci oprogramowania BMC, w tym AMI MegaRAC, przeoczyli tę poprawkę. W rezultacie, luka bezpieczeństwa przeszła przez cały łańcuch dostaw do producentów systemów i ich klientów.

Firma Binarly, zajmująca się bezpieczeństwem oprogramowania układowego, odkryła, że AMI nie zastosowało poprawki Lighttpd od 2019 do 2023 roku, co doprowadziło do wypuszczenia na rynek dużej liczby urządzeń podatnych na zdalnie wykorzystywalną lukę przez te lata.

Wśród producentów z dotkniętymi urządzeniami znajdują się Intel i Lenovo, którzy zostali poinformowani przez Binarly o problemie w ich urządzeniach. Oba przedsiębiorstwa stwierdziły, że dotknięte modele osiągnęły koniec swojego cyklu życia (EOL) i nie otrzymują już aktualizacji bezpieczeństwa, co oznacza, że prawdopodobnie pozostaną podatne, aż do ich wycofania.

• BRLY-2024-002: luka w Lighttpd w wersji 1.4.45 używana w oprogramowaniu układowym Intel M70KLP series w wersji 01.04.0030 (najnowsza)
• BRLY-2024-003: luka w Lighttpd w wersji 1.4.35 w oprogramowaniu układowym Lenovo BMC w wersji 2.88.58 (najnowszej) używanym w modelach serwerów Lenovo HX3710, HX3710-F i HX2710-E.
• BRLY-2024-004: luka w zabezpieczeniach serwera WWW Lighttpd w wersji wcześniejszej niż 1.4.51, umożliwiająca odczyt poufnych danych z pamięci procesu serwera.