Vulnerabilità vecchia di sei anni in alcuni server Intel e Lenovo

La società di sicurezza Binarly ha individuato un problema di
sicurezza a carico dei BMC presenti nei server di diversi produttori (tra
cui Intel, Lenovo e Supermicro) che è riconducibile ad una vulnerabilità
del server web Lighttpd scoperta e risolta sei anni fa.

Lighttpd è un webserver che deve la sua notorietà a caratteristiche di
leggerezza, velocità ed efficienza e che nel 2018 è risultato essere
interessato da una vulnerabilità di lettura heap out-of-bounds (OOB)
sfruttabile da remoto attraverso l’elaborazione di intestazioni di
richiesta HTTP  opportunamente confezionate.

Si tratta di una vulnerabilità, che consente l’esfiltrazione di indirizzi
di memoria del processo, e per questo motivo rappresenta un’opportunità
per gli attori di minaccia che cercano di scavalcare quei meccanismi di
protezione come Address Space Layout Randomization (ASLR).

La vulnerabilità, come dicevamo, è stata risolta nel corso del 2018 ma i
manutentori di Lighttpd non hanno assegnato un codice di tracciamento
CVE e hanno rilasciato la patch correttiva nella versione 1.4.51 del
webserver, senza particolare verbalizzazione della cosa.

La conseguenza è stata che gli sviluppatori del BMC MegaRAC di AMI
non hanno integrato la correzione nel loro prodotto dal 2019 al 2023.
I BMC sono microcontrollori incorporati sulle schede madri di livello
server, utilizzati nei data center e negli ambienti cloud, per consentire
la gestione remota, il riavvio, il monitoraggio e l’aggiornamento del
firmware sui dispositivi.

Questa situazione ha portato la vulnerabilità a diffondersi attraverso la
catena di fornitura, passando dai produttori di sistemi e raggiungendo
quindi i loro clienti.

Secondo i dati rilevati da Binarly al momento sarebbero più di 2000 i
sistemi in funzione e interessati da questa vulnerabilità, anche se
il numero potrebbe tranquillamente essere più elevato.

La società ha comunicato l’esistenza della vulnerabilità a Intel e
Lenovo, le quali hanno affermato che i modelli di server interessati
hanno raggiunto lo stato di End of Life e pertanto non sono più oggetto di
aggiornamenti di sicurezza: in altre parole resteranno vulnerabili
fino a quando non saranno dismessi.