Yazılım tedarik zinciri, açık kaynak bileşenlerdeki izlenmeyen güvenlik açıkları ve tutarsız güncelleme alımı gibi çeşitli zorluklarla doludur.
Lighttpd güvenlik açığı, 2018 yılında herhangi bir CVE ataması olmadan, tek bir güvenlik açığı tespiti örneğinde sessizce düzeltildi.
Sonuç olarak, kritik güvenlik yamaları genellikle bu öğelere dayanan alt yazılımlarda kaybolur.
Sonuç olarak, belirlenen güvenlik tavsiyeleri ve CVE atamaları olmadan olası sorunlara yönelik her değişikliğin izlenmesi çok zordur ve bu da tedarik zinciri boyunca güvenlik açığı yönetiminde boşluklar yaratır.
İkili siber güvenlik araştırmacıları yakın zamanda 6 yıllık bir güvenlik açığı olan Lighttpd’nin Intel ve Lenovo sunucularını etkilediğini keşfetti.
6 Yaşındaki Lighttpd Kusuru
Binarly, BMC güvenliği üzerinde çalışırken, üretimi durdurulan bir Intel Sunucu Sistemi ürününün Lighttpd modülünde bir yığın sınır dışı okuma güvenlik açığıyla (BRLY-2024-002) karşılaştı.
Birkaç yıl önce CVE olmadan sessizce düzeltilen yamalı kusur, artık destek altında olmadığı için giderilmeyecekti.
Firmware ve yazılım tedarik zincirlerinin bu karmaşıklığı ve güvensizliği, üçüncü taraf bileşenlerde yıllarca izole bırakılan ve farklı sektörler için yıkıcı sonuçlara yol açan uzun vadeli risklere yol açan güvenlik açıklarının varlığıyla iyi bir şekilde gösterilmektedir.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Beklenen yaşam döngüsü reaksiyonları mantıklı olsa da, tedarik zincirindeki kontrolsüz risklere ilişkin, proaktif önlemler alınarak derhal ele alınması gereken temel bir sorun vardır.
Bulgular aynı zamanda donanım yazılımı tedarik zincirindeki çelişkileri de gösteriyor; zira en son sürümlerin bazıları, kullanıcılar için ek riskler oluşturan güncelliğini yitirmiş üçüncü taraf bileşenler içeriyor.
Daha ileri araştırmalar, HX3710, HX3710-F ve HX2710-E sunucularına yönelik Lenovo BMC ürün yazılımının bu güvenlik açığından benzer şekilde etkilendiğini doğruladı.
Intel gibi onların da yanıtları, bu sunucuların kullanım ömrünün sonuna geldiğini ve bu durumun gelecekteki güvenlik güncellemelerinin yayınlanmasını zorlaştırdığını belirtti.
Bu durum, eski ürünlerde ürün yazılımı tedarik zincirlerinin ve yaşam döngüsü yönetiminin karmaşıklığından kaynaklanan yama yapılmamış güvenlik açıklarına ilişkin daha genel bir sorunu vurgulamaktadır.
Sessiz düzeltme, sorunu daha da karmaşık hale getiren yama yönetimi süreçlerini kolaylaştırmak için bir öneri veya CVE tanımlayıcısı içermez.
Güvenlik düzeltmelerine ilişkin hızlı ve önemli bilgilerin olmaması, ürün yazılımı ve yazılım tedarik zincirlerinin etkili bir şekilde ele alınmasını imkansız hale getirir.
Etkilenen Intel ve Lenovo BMC ürün yazılımı için ikili olarak atanan BRLY-2024-002 ve BRLY-2024-003 tanımlayıcıları, savunmasız Lighttpd yapısına ise BRLY-2024-004 verildi.
Bu, karmaşık tedarik zinciri ekosisteminde daha iyi güvenlik açıklarının açıklanması ve koordinasyonunun gerekli olduğunu göstermektedir.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.