Скрытая разработчиками уязвимость расползлась по дата-центрам

«Баг» в популярном веб-сервере осел во множестве материнских плат для серверных систем, и шесть лет на него не обращали внимания. Под угрозой серверы Lenovo и Intel.


Вопрос решили по-тихому

Контроллеры управления материнской платой (ВМС) для серверов Intel, Lenovo и других производителей, содержат уязвимость, которая позволяет извлекать из памяти значения адресации. Это, в свою очередь, позволяет злоумышленникам обходить такие защитные механизмы, как рандомизация адресного пространства (Address Space Layout Randomization, ASLR).

Уязвимость, которой уже шесть лет, непосредственно выявлена в веб-серверном компоненте Lighttpd, популярном пакете с открытым исходником, характеризующимся высоким быстродействием с минимальным потреблением системных ресурсов.

В 2018 г. в нем была выявлена уязвимость, позволяющая считывать содержимое памяти вне выделенных пределов «кучи» (heap) при обработке HTTP-запросов, чьи заголовки содержат переносы строки.



Intel Разработчики скрыли уязвимость, которая, по мнению экспертов, приведет к появлению эксплойтов для тысяч устройств

Операторы Lighttpd внесли исправления непублично, без присвоения CVE-идентификатора. Вследствие этого многие вендоры были даже не в курсе существования уязвимости.

В результате разработчики BMC-контроллеров AMI MegaRAC пропустили исправление и не встроили его в свой продукт. Как следствие, уязвимость очутилась в конечных разработках многих системных вендоров и их клиентов.

Неустраняемые последствия

Микроконтроллеры BMC используются в серверных материнских платах, в том числе тех, на основе которых функционируют серверы дата-центров и облачных массивов.

Как выяснили эксперты компании Binarly, AMI игнорировали исправление Lighttpd в 2019-2023 гг., так что в мире насчитывается как минимум 2 тыс. устройств, содержащих уязвимость в BMC. На самом деле, подчеркивают в компании Binarly, количество, скорее всего, намного выше.

Аналитики Binarly присвоили собственные идентификаторы уязвимостям, в соответствии с тем, какое влияние они оказывают на различные устройства различных вендоров.

Например, BRLY-2024-002 - это уязвимость в Lighttpd версии 1.4.45, которая встречается серверах Intel с программной оболочкой M70KLP версии 01.04.0030.

BRLY-2024-003: уязвимость Lighttpd версии 1.4.35 в BMC-контроллерах Lenovo с оболочкой версии 2.88.58, используемых в серверах Lenovo моделей HX3710, HX3710-F и HX2710-E.

BRLY-2024-004: общая уязвимость во всех версиях Lighttpd до версии 1.4.51, позволяющая считывать значимую системную информацию из памяти.

В Binarly отметили, что уязвимость встречается и в серверах Intel, которые были выпущены, самое позднее, в феврале 2023 г. Однако когда компания проинформировала вендоров о существовании проблемы, те ответили, что уязвимые модели уже достигли конечного срока эксплуатации, так что обновлений к уязвимостям выпускаться не будет.

Таких снятых с поддержки общедоступных устройств с уязвимыми контроллерами в Сети огромное количество, предупреждают аналитики Binarly.

В публикации компании детально описаны технические особенности уязвимости и того, как ее можно эксплуатировать. Как пишет издание Bleeping Computer, это означает, что в самом скором времени могут появиться рабочие эксплойты.

«По сути основными виновниками произошедшего являются мейнтейнеры Lighttpd, которые предпочли замести под ковер неприятную уязвимость вместо того, чтобы известить о ней все заинтересованные стороны», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, возможно, у них также как и у разработчиков открытого ПО, нет формальных обязательств присваивать CVE каждой выявленной уязвимости, но своим решением они обеспечили немало головной боли операторам дата-центров. «Исправить проблему, если вендоры откажутся выпускать патчи, можно только заменой серверов, а их едва ли можно сравнить с «расходным» сетевым оборудованием вроде роутеров», - подытожил Михаил Зайцев.

Эксперт подчеркнул, что прозрачность в разработке и исправлении уязвимостей - это залог информационной безопасности. Особенно когда речь идёт о продуктах, встроенных в разветвлённые цепочки поставок.

Адрес новости:
https://safe.cnews.ru/news/top/2024-04-15_skrytaya_razrabotchikami_uyazvimost