Как небольшая оплошность в рамках цепочки поставок способна привести к катастрофе.
Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили некую уязвимость. Для просмотра ссылки Войдиили Зарегистрируйся однако продукты многих крупных производителей оборудования, включая Intel и Lenovo , до сих пор содержат её, подвергая риску конечных пользователей. Но как так вообще получилось?
Стоит начать с того, что Для просмотра ссылки Войдиили Зарегистрируйся — это веб-сервер с открытым исходным кодом, известный своим малым весом, скоростью и эффективностью, что делает его идеальным выбором для веб-сайтов с высокой посещаемостью, обеспечивая минимальное потребление системных ресурсов.
Исследователи из компании Binarly , специализирующейся на безопасности встроенных программных решений, включая прошивки BIOS и UEFI, Для просмотра ссылки Войдиили Зарегистрируйся что оборудование вышеозвученных производителей всё ещё подвержено этой самой уязвимости шестилетней давности.
Проблема была обнаружена во время недавних плановых сканирований контроллеров управления серверными платами ( BMC ). Эксперты обнаружили уязвимость удалённого считывания кучи за пределами границ ( Out-of-bounds ) через веб-сервер Lighttpd, обрабатывающий «свёрнутые» заголовки HTTP-запросов.
Как оказалось, хотя уязвимость и была устранена ещё в августе 2018 года, в версии Lighthttpd 1.4.51, разработчики исправили её в автоматическом режиме, без присвоения идентификатора отслеживания (CVE). Это привело к тому, что разработчики контроллеров AMI MegaRAC BMC пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам.
Как сообщают исследователи, проблема безопасности может привести к удалённому чтению данных из памяти процессов, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация размещения адресного пространства ( ASLR ).
Binarly сообщила, что уязвимые продукты включают устройства от Intel, Lenovo и Supermicro. На сегодняшний день в полевых условиях насчитывается более 2000 уязвимых устройств, а реальное число может быть ещё больше.
Аналитики безопасности присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства:
Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя.
Binarly подчёркивает, что уязвимые устройства BMC, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые.
Данный инцидент подчёркивает важность прозрачности, своевременности информирования и ответственности всех участников, задействованных в процессе обеспечения безопасности программных и аппаратных продуктов. Только так можно избежать риска для цепочки поставок, чтобы спустя годы не обнаружить, что исправить проблему уже не представляется возможным.
Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили некую уязвимость. Для просмотра ссылки Войди
Стоит начать с того, что Для просмотра ссылки Войди
Исследователи из компании Binarly , специализирующейся на безопасности встроенных программных решений, включая прошивки BIOS и UEFI, Для просмотра ссылки Войди
Проблема была обнаружена во время недавних плановых сканирований контроллеров управления серверными платами ( BMC ). Эксперты обнаружили уязвимость удалённого считывания кучи за пределами границ ( Out-of-bounds ) через веб-сервер Lighttpd, обрабатывающий «свёрнутые» заголовки HTTP-запросов.
Как оказалось, хотя уязвимость и была устранена ещё в августе 2018 года, в версии Lighthttpd 1.4.51, разработчики исправили её в автоматическом режиме, без присвоения идентификатора отслеживания (CVE). Это привело к тому, что разработчики контроллеров AMI MegaRAC BMC пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам.
Как сообщают исследователи, проблема безопасности может привести к удалённому чтению данных из памяти процессов, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация размещения адресного пространства ( ASLR ).
Binarly сообщила, что уязвимые продукты включают устройства от Intel, Lenovo и Supermicro. На сегодняшний день в полевых условиях насчитывается более 2000 уязвимых устройств, а реальное число может быть ещё больше.
Аналитики безопасности присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства:
- BRLY-2024-002: специфическая уязвимость в Lighttpd версии 1.4.45, используемая в прошивках Intel серии M70KLP версии 01.04.0030 (последней), влияющая на определённые модели серверов Intel.
- BRLY-2024-003: специфическая уязвимость в Lighttpd версии 1.4.35 в прошивке Lenovo BMC версии 2.88.58 (последней), используемой в серверных моделях Lenovo HX3710, HX3710-F и HX2710-E.
- BRLY-2024-004: общая уязвимость в веб-серверах Lighttpd версий до 1.4.51, позволяющая считывать конфиденциальные данные из оперативной памяти сервера.
Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя.
Binarly подчёркивает, что уязвимые устройства BMC, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые.
Данный инцидент подчёркивает важность прозрачности, своевременности информирования и ответственности всех участников, задействованных в процессе обеспечения безопасности программных и аппаратных продуктов. Только так можно избежать риска для цепочки поставок, чтобы спустя годы не обнаружить, что исправить проблему уже не представляется возможным.
- Источник новости
- www.securitylab.ru