英特尔、联想等服务器曝出难以修复的漏洞
近日,英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞,源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。
Lighttpd是一款开源Web服务器,以轻量级、快速且高效而闻名,非常适合高流量网站,同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。
漏洞潜伏六年,服务器供应链安全堪忧
安全公司Binarly的研究人员近日证实,英特尔、联想和超微(Supermicro)等公司销售的服务器硬件中存在一个潜伏长达6年的漏洞,可被黑客利用泄露关键安全信息。研究人员进一步警告,任何使用美国佐治亚州Duluth公司(AMI)或中国台湾省AETN生产的特定型号的BMC(基板管理控制器)的服务器硬件都会受到影响。
BMC是焊接在服务器主板上的微型计算机,被云计算中心(有时也包括其客户)用于远程管理庞大的服务器集群。管理员可通过BMC远程重新安装操作系统、安装和卸载应用程序,并可几乎完全控制系统——即使服务器处于关闭状态。BMC成就了业界所称的“无灯”系统管理,AMI和AETN是众多BMC制造商中较为知名的两家。
多年来,很多品牌的BMC产品都集成了存在漏洞的开源软件lighttpd,后者是一个快速轻量级的Web服务器,兼容各种硬件和软件平台。lighttpd被广泛用于各种产品,包括嵌入式设备(例如BMC),允许远程管理员通过HTTP请求远程控制服务器。
2018年,lighttpd开发人员发布了一个新版本,修复了“各种释放后利用场景”,这是一个含糊其辞的描述,实际是修复了一个可远程利用的堆越界(OOB)读取漏洞,但由于开发人员并未在更新中使用“漏洞”一词,也没有按照常规操作分配CVE漏洞编号,这导致AMI Mega RACBMC的开发人员错过了修复并未能将其集成到产品中。结果,该漏洞沿着供应链蔓延到系统供应商及其客户:
Binarly研究人员表示,lighttpd的漏洞被修复后,包括AMI和ATEN在内的BMC制造商仍在使用受影响的lighttpd版本,并且这种情况持续了多年,多家服务器厂商在过去几年间继续将存在漏洞的BMC整合到硬件中。Binarly识别出其中三家服务器制造商:英特尔、联想和超微(Supermicro)。
“多年来,(lighttpd漏洞)一直存在于固件中,没有人关心更新用于BMC固件镜像的第三方组件,”Binarly研究人员写道:“这又是固件供应链管理缺乏一致性的典型案例,最新版本的固件中存在一个严重过时的第三方组件,为最终用户带来了额外的风险。估计业界还有更多使用易受攻击的lighttpd版本的服务器系统。”
操作系统会通过地址空间布局随机化(ASLR)来隐藏处理关键功能的敏感内存地址,以防止被用于软件漏洞利用。研究人员表示,虽然lighttpd只是一个中危漏洞,但是结合其他漏洞,黑客能够绕过ASLR的保护,识别负责处理关键功能的内存地址。
漏洞广泛存在但难以修复
跟踪多种服务器硬件中的各种BMC组件供应链很困难。到目前为止,Binarly已经识别出AMI的MegaRAC BMC是易受攻击的BMC之一。Binarly发现AMI从2019年到2023年期间未应用Lighttpd修复程序,导致这些年来数以万计易受远程可利用漏洞攻击的设备推出。
已知受影响设备的供应商包括英特尔和联想。Binarly公司指出,最近于2023年2月22日发布的一些英特尔系统也包含易受攻击的组件。有关ATENBMC的信息目前尚不可用。
威胁分析师根据Lighttpd漏洞对不同供应商和设备的影响,为其分配了三个内部标识符:
- BRLY-2024-002:英特尔M70KLP系列固件版本01.04.0030(最新)中使用的Lighttpd版本1.4.45中存在特定漏洞,影响某些英特尔服务器型号。
- BRLY-2024-003:联想服务器型号HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58(最新)内的Lighttpd版本1.4.35中存在特定漏洞。
- BRLY-2024-004:LighttpdWeb服务器版本1.4.51之前的一般漏洞,允许从服务器的进程内存读取敏感数据。
根据Binarly的报告,英特尔和联想均表示受影响服务器型号已达到产品使用寿命(EOL),不再接收安全更新。换而言之,英特尔和联想均不计划发布修复程序,这意味着这些服务器硬件在退役之前可能仍然容易受到攻击。(超微的受影响产品仍获得支持)
更糟糕的是,Binarly声称有“大量”易受攻击且公开可用的BMC设备已达到使用寿命,并且由于缺乏补丁而将永远保持易受攻击的状态。
研究人员表示,服务器行业对该漏洞反应冷淡,未能成功联系到lighttpd开发人员和大多数受影响的服务器硬件制造商,一位AMI代表则拒绝评论漏洞。
参考链接: