Vulnerabilità vecchia di sei anni in alcuni server Intel e Lenovo

Vulnerabilità vecchia di sei anni in alcuni server Intel e Lenovo

A causa di una gestione inappropriata degli aggiornamenti di sicurezza, la vulnerabilità è rimasta irrisolta in molti prodotti ancora in funzione, ma ormai non più supportati

di pubblicata il , alle 15:05 nel canale Server e Workstation
IntelLenovo
 

La società di sicurezza Binarly ha individuato un problema di sicurezza a carico dei BMC presenti nei server di diversi produttori (tra cui Intel, Lenovo e Supermicro) che è riconducibile ad una vulnerabilità del server web Lighttpd scoperta e risolta sei anni fa.

Lighttpd è un webserver che deve la sua notorietà a caratteristiche di leggerezza, velocità ed efficienza e che nel 2018 è risultato essere interessato da una vulnerabilità di lettura heap out-of-bounds (OOB) sfruttabile da remoto attraverso l'elaborazione di intestazioni di richiesta HTTP  opportunamente confezionate.

Si tratta di una vulnerabilità, che consente l'esfiltrazione di indirizzi di memoria del processo, e per questo motivo rappresenta un'opportunità per gli attori di minaccia che cercano di scavalcare quei meccanismi di protezione come Address Space Layout Randomization (ASLR).

La vulnerabilità, come dicevamo, è stata risolta nel corso del 2018 ma i manutentori di Lighttpd non hanno assegnato un codice di tracciamento CVE e hanno rilasciato la patch correttiva nella versione 1.4.51 del webserver, senza particolare verbalizzazione della cosa.

La conseguenza è stata che gli sviluppatori del BMC MegaRAC di AMI non hanno integrato la correzione nel loro prodotto dal 2019 al 2023. I BMC sono microcontrollori incorporati sulle schede madri di livello server, utilizzati nei data center e negli ambienti cloud, per consentire la gestione remota, il riavvio, il monitoraggio e l'aggiornamento del firmware sui dispositivi.

Questa situazione ha portato la vulnerabilità a diffondersi attraverso la catena di fornitura, passando dai produttori di sistemi e raggiungendo quindi i loro clienti.

Secondo i dati rilevati da Binarly al momento sarebbero più di 2000 i sistemi in funzione e interessati da questa vulnerabilità, anche se il numero potrebbe tranquillamente essere più elevato.

La società ha comunicato l'esistenza della vulnerabilità a Intel e Lenovo, le quali hanno affermato che i modelli di server interessati hanno raggiunto lo stato di End of Life e pertanto non sono più oggetto di aggiornamenti di sicurezza: in altre parole resteranno vulnerabili fino a quando non saranno dismessi.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^