Uma vulnerabilidade que persiste há quase seis anos no servidor web Lighttpd, utilizado em controladores de gerenciamento de placas-mãe, foi negligenciada por diversos fornecedores de dispositivos, incluindo gigantes como Intel e Lenovo.
O problema de segurança pode possibilitar a exfiltração de endereços de memória do processo, facilitando para os invasores a neutralização de mecanismos de proteção como o Address Space Layout Randomization (ASLR).
O Lighttpd se destaca por ser um servidor web de código aberto, leve, rápido e eficiente, sendo uma escolha ideal para sites com grande volume de tráfego, enquanto consome o mínimo de recursos do sistema.
Numa investigação recente sobre os Baseboard Management Controllers (BMC), pesquisadores da Binarly, uma empresa especializada em segurança de firmware, identificaram uma vulnerabilidade de leitura heap out-of-bounds, que pode ser explorada remotamente por meio do processamento de cabeçalhos de solicitação HTTP “malformados” pelo servidor web Lighttpd.
Embora tenha sido corrigida em agosto de 2018, a correção da vulnerabilidade no Lighttpd foi aplicada discretamente na versão 1.4.51, sem receber um identificador de rastreamento (CVE) específico.
Essa falta de comunicação fez com que os desenvolvedores do AMI MegaRAC BMC não percebessem a correção, impossibilitando sua integração no produto.
Como resultado, a vulnerabilidade se propagou pela cadeia de suprimentos até chegar aos fornecedores de sistemas e seus consumidores.
BMCs são microcontroladores integrados às placas-mãe de servidores, incluindo sistemas utilizados em data centers e ambientes de nuvem, que fornecem capacidades de gerenciamento remoto, reinicialização, monitoramento e atualização de firmware.
A Binarly constatou que a AMI não aplicou a correção do Lighttpd de 2019 a 2023, resultando na presença de um número significativo de dispositivos vulneráveis ao bug que podem ser explorados remotamente ao longo desses anos.
Os especialistas em análise de ameaças da Binarly classificaram a vulnerabilidade do Lighttpd em três identificadores internos, dependendo do impacto em diferentes fornecedores e dispositivos:
• BRLY-2024-002: vulnerabilidade específica na versão 1.4.45 do Lighttpd usada no firmware da série M70KLP da Intel versão 01.04.0030 (a mais recente), afetando certos modelos de servidores Intel.
• BRLY-2024-003: vulnerabilidade específica na versão 1.4.35 do Lighttpd no firmware Lenovo BMC versão 2.88.58 (a mais recente) utilizada nos modelos de servidor Lenovo HX3710, HX3710-F e HX2710-E.
• BRLY-2024-004: vulnerabilidade geral em versões do servidor web Lighttpd anteriores à 1.4.51, que permite a leitura de dados sensíveis da memória do processo do servidor.
Entre os fornecedores afetados estão a Intel e a Lenovo, que notificaram a Binarly sobre o problema em seus dispositivos.
A empresa de segurança de firmware destacou que alguns sistemas da Intel, lançados recentemente em 22 de fevereiro de 2023, apresentam o componente vulnerável.
Contudo, ambas as fabricantes informaram que os modelos impactados alcançaram o fim da vida útil (EOL) e, portanto, não receberão mais atualizações de segurança, o que significa que provavelmente permanecerão vulneráveis até serem retirados de uso.
Segundo a Binarly, existe um “número enorme” de dispositivos BMC vulneráveis e expostos publicamente que atingiram o fim da vida útil e ficarão permanentemente vulneráveis devido à ausência de correções.
O relatório da Binarly oferece detalhes técnicos sobre a vulnerabilidade e sua dinâmica, possibilitando que um atacante desenvolva um exploit.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...