英特尔和联想的硬件在五年内一直存在可被入侵的漏洞,而这个漏洞将永远无法修复。供应链中的多个环节多年来未能识别出这个未修复的漏洞。像英特尔和联想这样的公司多年来销售的硬件中含有一个可远程利用的漏洞,这个漏洞将永远无法修复。其原因是涉及到一个开源软件包和多个制造商的硬件的供应链问题,这些制造商直接或间接地将该软件包整合到了他们的产品中。
安全公司Binarly的研究人员证实,这一疏忽导致了英特尔、联想和Supermicro出货的服务器硬件中含有一个可被利用的漏洞,可以用来泄露安全关键信息。然而,研究人员继续警告说,任何集成了由美国杜卢斯基地的AMI公司或台湾AETN公司制造的某些世代基板管理控制器的硬件也会受到影响。
基板管理控制器(BMC)是焊接在服务器主板上的微型计算机,允许云中心以及有时候它们的客户远程管理大量服务器。它们使管理员能够远程重新安装操作系统,安装和卸载应用程序,并控制系统的几乎所有其他方面,甚至在关闭状态下也可以。BMC提供了业界所称的“无人值守”系统管理。AMI和AETN是几家BMC制造商之一。
多年来,多个制造商的BMC都集成了一个名为lighttpd的开源软件的受影响版本。Lighttpd是一个快速轻量级的Web服务器,与各种硬件和软件平台兼容。它被用于各种产品中,包括嵌入式设备如BMC,以允许远程管理员通过HTTP请求远程控制服务器。
2018年,lighttpd的开发人员发布了一个新版本,修复了“各种使用后释放场景”,这是对一类漏洞的模糊描述,这些漏洞可被远程利用来篡改受影响软件的安全敏感内存功能。尽管有这个描述,但更新没有使用“漏洞”一词,并且也没有像惯例那样包含CVE漏洞跟踪号。
Binarly的研究人员表示,当漏洞修复时,包括AMI和ATEN在内的BMC制造商正在使用受影响的lighttpd版本,并在接下来的多年内继续使用。服务器制造商反过来在同一多年的时间段内继续将易受攻击的BMC集成到他们的硬件中。Binarly已确定英特尔、联想和Supermicro三家制造商的产品受影响。英特尔去年刚刚销售的硬件受到影响。Binarly表示,英特尔和联想都没有发布修复计划,因为他们不再支持受影响的硬件。Supermicro的受影响产品仍在受支持。
“多年来,[lighttpd漏洞]一直存在于固件中,但没有人关心更新用于构建此固件图像的第三方组件之一,” Binarly研究人员在周四写道。“这是固件供应链中不一致性的另一个完美例子。非常过时的第三方组件存在于最新版本的固件中,为最终用户带来了额外的风险。在整个行业中还有更多使用受影响lighttpd版本的系统吗?”
打败ASLR
该漏洞使黑客有可能识别出负责处理关键功能的内存地址。操作系统会费尽周折地对这些位置进行随机化和隐藏,以防止它们在软件利用中被使用。通过将对lighttpd漏洞的利用与另一个漏洞链接起来,黑客可以击败这种标准保护措施,这种保护措施被称为地址空间布局随机化。将两个或更多的利用链在一起已经成为当今黑客攻击的一个常见特征,因为软件制造商继续向他们的代码中添加反利用保护。
跟踪用于多种服务器硬件中的多个BMC的供应链是困难的。到目前为止,Binarly已确认AMI的MegaRAC BMC是受影响的BMC之一。该安全公司已确认AMI BMC包含在英特尔Server System M70KLP硬件中。目前还没有关于ATEN的BMC或联想和Supermicro的硬件的信息。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何硬件中。
在一份声明中,联想公司的官员写道:
联想已经意识到了 Binarly 发现的 AMI MegaRAC 问题。我们正在与供应商合作,查明对联想产品可能造成的任何潜在影响。具有 XClarity Controller(XCC)的 ThinkSystem 服务器和具有集成管理模块 v2(IMM2)的 System x 服务器不使用 MegaRAC,因此不受影响。
一位 AMI 代表拒绝就此漏洞发表评论,但补充了有关安全是重要优先事项的标准声明。英特尔代表确认了 Binarly 报告的准确性。超微代表未回复一封寻求确认报告的电子邮件。
lighttpd 漏洞是一种堆栈越界读取漏洞,由于 HTTP 请求解析逻辑中的错误而导致。黑客可以利用恶意设计的 HTTP 请求来利用它。
“潜在攻击者可以利用此漏洞读取 Lighttpd Web 服务器进程的内存,” Binarly 研究人员在一份咨询中写道。“这可能导致敏感数据泄露,例如内存地址,这些地址可以用于绕过 ASLR 等安全机制。”
这不是 Binarly 发现的第一个重大供应链失误。去年十二月,该公司披露了 LogoFail,这是一种攻击,通过在几乎所有统一可扩展固件接口中使用的过时固件在引导启动序列早期执行恶意固件,负责引导运行 Windows 或 Linux 的现代设备。
使用超微设备的个人或组织应向制造商查询可能的修复信息。由于英特尔或联想没有可用的修复措施,受影响硬件的用户没有太多可做的。然而,值得明确提到的是,lighttpd 漏洞的严重性仅为中等,除非攻击者拥有更严重漏洞的工作利用程序,否则没有价值。一般来说,BMC 应仅在需要时启用,并且应小心锁定,因为它们允许通过互联网发送的简单 HTTP 请求对整个服务器群进行非凡控制。
热门跟贴