Los Binarly Research tyrėjai atskleidė neseniai, seno Lighttpd pažeidžiamumo aptikimas kuri yra tokiuose įrenginiuose kaip AMI BMC, įskaitant „Lenovo“ ir „Intel“ gaminius. Minima, kad šis pažeidžiamumas leisti neatpažintam užpuolikui nuotoliniu būdu skaityti proceso, palaikančio žiniatinklio sąsają, atminties turinį.
Pažeidžiamumas programinėje įrangoje yra nuo 2019 m. ir atsirado dėl pasenusios Lighttpd HTTP serverio versijos, kurioje yra neištaisytas pažeidžiamumas, o jos buvimas šiuo metu veikia Lenovo ir Intel serverių platformas.
Apie pažeidžiamumą
Minima, kad pažeidžiamumo rimtumas slypi tame, kad š leidžia nuskaityti atmintį už paskirto buferio ribų, kurią sukėlė HTTP antraštės sujungimo kode klaida, kai nurodomi keli antraštės „If-Modified-Since“ egzemplioriai.
Apdorojant antrąjį antraštės egzempliorių, Lighttpd paskyrė naują buferį, kad būtų išlaikyta kombinuota vertė, ir atlaisvino buferį, kuriame buvo pirmoji antraštės reikšmė. Tačiau žymeklis con->request.http_if_modified_since nebuvo atnaujintas ir nuolat nukreipė į jau atlaisvintą atminties sritį.
Situacija yra apsunkintas, nes ši rodyklė buvo naudojama operacijose, kuriose buvo lyginamas antraštės turinys Jei-Modified-Since, ir šių palyginimų rezultatas turėjo įtakos skirtingų grąžinimo kodų generavimui. Todėl, užpuolikas, naudodamas brutalią jėgą, galėjo padaryti išvadą apie naują atminties turinį kuris anksčiau užėmė pirmąjį buferį. Šis pažeidžiamumas gali būti derinamas su kitais, pavyzdžiui, norint nustatyti atminties išdėstymą ir apeiti apsaugos mechanizmus, tokius kaip ASLR (adresų erdvės atsitiktinis nustatymas).
Šio pažeidžiamumo pataisymas buvo įdiegtas Lighttpd kodų bazėje 2018 m., konkrečiai 1.4.51 versijoje. Tačiau šiam pataisymui nebuvo suteiktas CVE identifikatorius, o ataskaita, kurioje būtų išsamiai aprašomas pažeidžiamumo pobūdis, nebuvo paskelbtas. Išleidimo pastaboje buvo paminėti saugos pataisymai, tačiau dėmesys sutelktas į mod_userdir pažeidžiamumą, susijusį su simbolių, pvz., ".." ir ", naudojimu." vartotojo varde.
„Binarly REsearch“ komanda koordinavo šio pažeidžiamumo atskleidimą „Intel“ ir „Lenovo“ PSIRT. Abu atsisakė pataisyti arba patvirtinti pažeidžiamumo ataskaitą, nes susiję produktai neseniai baigė naudoti ir nebegaus saugos pataisymų.
Tai vadiname amžinomis klaidomis, kurios ilgą laiką persekios programinės įrangos tiekimo grandinę. Nusprendėme dokumentuoti šį programinės įrangos tiekimo grandinės saugos trūkumą, kad padėtume ekosistemai atsigauti nuo šių pasikartojančių programinės įrangos saugos trūkumų.
Nors pakeitimų žurnalas taip pat nurodė problemą apdorojant HTTP antraštes, programinės įrangos kūrėjai neįtraukė šio pataisymo produkte. Be to, įmonės paminėjo, kad neketina išleisti programinės aparatinės įrangos naujinimų, nes produktų, kuriuose naudojama ši programinė įranga, palaikymo laikotarpis baigėsi, be to, mano, kad pažeidžiamumo sunkumas yra mažas.
Šiuo metu paveiktos platformos dėl pažeidžiamumo yra: Intel M70KLP ir Lenovo HX3710, HX3710-F ir HX2710-E (pažeidžiamumas, be kita ko, yra naujausiose „Lenovo“ programinės įrangos versijose 2.88.58 ir „Intel“ 01.04.0030). Be to, pranešama, kad Lighttpd pažeidžiamumas taip pat turi įtakos Supermicro įrangos programinei įrangai, taip pat serveriai, kuriuose naudojami Duluth ir ATEN BMC valdikliai.
Be Lighttpd pažeidžiamumo, Ataskaitoje minimos kitos svarbios spragos, pvz., „Heap Out-of-bounds read“. (CWE-125) „Intel“ įrenginiuose naudojamame „Lighttpd“ modulyje, taip pat „Intel M70KLP BMC“ programinės įrangos ir „Lenovo“ serverių HX3710, HX3710-F ir HX2710-E BMC programinės įrangos pažeidžiamumas.
Galiausiai verta paminėti, kad irn Binarly Research ataskaitoje pabrėžiamas atsakingo atskleidimo poreikis aptiktų pažeidžiamumų, taip pat bendradarbiavimas su gamintojais ir atitinkamomis šalimis (pvz., „Intel“ ir „Lenovo“), siekiant sumažinti riziką, nes „amžinų klaidų“ buvimas įrenginiuose, kurių gyvavimo ciklas baigiasi, nėra kažkas naujo, todėl vartotojams būtina pasiūlyti galimybę įdiegti pataisas ar sprendimus. jų pačių, tai aišku, kai gamintojas nurodo, kad palaikymas iš jo pusės pasibaigė.
Kakleliai domina sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.