Baseboard Management Controller’larda kullanılan Lighttpd web sunucusundaki neredeyse 6 yıllık bir güvenlik açığı, aralarında Intel ve Lenovo’nun da bulunduğu birçok cihaz satıcısı tarafından gözden kaçırıldı.
Güvenlik sorunu, işlem belleği adreslerinin sızmasına neden olabilir ve bu da saldırganların Adres Alanı Düzeni Rastgeleleştirme (ASLR) gibi koruma mekanizmalarını atlamasına yardımcı olabilir.
Lighttpd, hafif, hızlı ve verimli olmasıyla bilinen açık kaynaklı bir web sunucusudur; bu da onu minimum sistem kaynağı tüketirken yüksek trafikli web siteleri için ideal kılar.
Temel Kart Yönetim Denetleyicilerinin (BMC) son taramaları sırasında, Binarly ürün yazılımı güvenlik firmasındaki araştırmacılar, Lighttpd web sunucusunun “katlanmış” HTTP istek başlıklarını işlemesi yoluyla uzaktan yararlanılabilir, sınır dışı yığın (OOB) okuma güvenlik açığı keşfettiler.
Güvenlik açığı Ağustos 2018’de giderilmiş olsa da Lighthttpd’nin geliştiricileri, bir izleme kimliği (CVE) atamadan 1.4.51 sürümünde güvenlik açığını sessizce yamaladı.
Bu, AMI MegaRAC BMC geliştiricilerinin düzeltmeyi kaçırmasına ve onu ürüne entegre edememesine yol açtı. Bu güvenlik açığı, tedarik zinciri boyunca sistem satıcılarına ve onların müşterilerine de yayıldı.
Kaynak: Binarly
Etki ve durum
BMC’ler, veri merkezlerinde ve bulut ortamlarında kullanılan sistemler de dahil olmak üzere, cihaz üzerinde uzaktan yönetim, yeniden başlatma, izleme ve ürün yazılımı güncelleme olanağı sağlayan, sunucu sınıfı anakartlara yerleşik mikro denetleyicilerdir.
Binarly, AMI’nin Lighttpd düzeltmesini 2019’dan 2023’e kadar uygulamada başarısız olduğunu ve bunun da bu yıllar boyunca uzaktan istismar edilebilir hataya karşı savunmasız çok sayıda cihazın piyasaya sürülmesine yol açtığını tespit etti.
Binarly, BleepingComputer’a şunları söyledi: “Binarly Şeffaflık Platformu verilerine göre Intel, Lenovo ve Supermicro’nun birden fazla ürününün etkilendiğini görüyoruz.”
“Verilerimize göre sahada yaklaşık 2000’den fazla cihaz etkilendi. Gerçekte bu sayı daha da fazla.”
Kaynak: Binarly
Tehdit analistleri, farklı satıcılar ve cihazlar üzerindeki etkisine bağlı olarak Lighttpd güvenlik açığına üç dahili tanımlayıcı atadı:
- BRLY-2024-002: Intel’in M70KLP serisi donanım yazılımı sürümü 01.04.0030’da (en son) kullanılan Lighttpd sürüm 1.4.45’teki belirli Intel sunucu modellerini etkileyen özel güvenlik açığı.
- BRLY-2024-003: Lenovo sunucu modelleri HX3710, HX3710-F ve HX2710-E’de kullanılan Lenovo BMC ürün yazılımı sürüm 2.88.58 (en son) içindeki Lighttpd sürüm 1.4.35’teki belirli güvenlik açığı.
- BRLY-2024-004: Lighttpd web sunucusunun 1.4.51 öncesi sürümlerinde bulunan ve sunucunun işlem belleğinden hassas verilerin okunmasına izin veren genel güvenlik açığı.
Etkilenen cihazlara sahip satıcılar arasında, cihazlarındaki sorunu İkili olarak bildiren Intel ve Lenovo da yer alıyor. Ürün yazılımı güvenlik şirketi, 22 Şubat 2023 gibi yakın bir tarihte piyasaya sürülen bazı Intel sistemlerinin güvenlik açığı bulunan bileşeni içerdiğini belirtiyor.
Ancak her iki satıcı da etkilenen modellerin kullanım ömrünün sonuna (EOL) ulaştığını ve artık güvenlik güncellemeleri almadığını, yani hizmet dışı bırakılana kadar muhtemelen savunmasız kalacaklarını söyledi.
Kaynak: Binarly
Binarly’ye göre, kullanım ömrünün sonuna gelmiş ve yama eksikliği nedeniyle sonsuza kadar savunmasız kalacak olan “çok sayıda” savunmasız ve kamuya açık BMC cihazı var.
Binarly’nin raporu, güvenlik açığı ve nasıl çalıştığı hakkında, bir saldırganın bir istismar geliştirmesine olanak tanıyabilecek teknik ayrıntılar sağlıyor. Araştırmacılar bunun, ürün yazılımı tedarik zincirindeki birkaç yıla yayılabilecek güvenlik risklerine yol açan boşlukların bir başka örneği olduğunu belirtiyor.
Şeffaflığın olmayışı ve Lighttpd bakımcılarının güvenlik açığı konusunda farkındalık yaratma konusundaki başarısızlığı da sorunu daha da artırıyor ve satıcıların gerekli düzeltmeleri zamanında entegre etmede başarısız olmasına yol açıyor.