英特尔 联想等主机曝出难以修复的破绽
近日,英特尔、联想等多个厂商开售的主机配件曝出一个难以修复的远程可应用破绽。该破绽属于供应链破绽,源自一个被多家主机厂商整合到产品中的开源软件包——Lighttpd。
Lighttpd是一款开源Web主机,以轻量级、极速且高效而知名,十分适宜高流量网站,同时消耗较少的系统资源。该破绽存在于经常使用lighttpd版本1.4.35、1.4.45和1.4.51的任何主机配件中。
破绽潜伏六年,主机供应链安保堪忧
安保公司Binarly的钻研人员近日证明,英特尔、联想和超微(Supermicro)等公司开售的主机配件中存在一个潜伏长达6年的破绽,可被黑客应用暴露关键安保信息。钻研人员进一步正告,任何经常使用美国佐治亚州Duluth公司(AMI)或中国台湾省AETN消费的特定型号的BMC(基板治理控制器)的主机配件都会遭到影响。
BMC是焊接在主机主板上的微型计算机,被云计算中心(有时也包括其客户)用于远程治理庞大的主机集群。治理员可经过BMC远程从新装置操作系统、装置和卸载运行程序,并可简直齐全控制系统——即使主机处于封锁形态。BMC成就了业界所称的“无灯”系统治理,AMI和AETN是泛滥BMC制作商中较为知名的两家。
多年来,很多品牌的BMC产品都集成了存在破绽的开源软件lighttpd,后者是一个极速轻量级的Web主机,兼容各种配件和软件平台。lighttpd被宽泛用于各种产品,包括嵌入式设施(例如BMC),准许远程治理员经过HTTP恳求远程控制主机。
2018年,lighttpd开发人员发布了一个新版本,修复了“各种监禁后应用场景”,这是一个含混其辞的形容,实践是修复了一个可远程应用的堆越界(OOB)读取破绽,但因为开发人员并未在更新中经常使用“破绽”一词,也没有依照惯例操作调配CVE破绽编号,这造成AMI Mega RACBMC的开发人员错过了修复并未能将其集成到产品中。结果,该破绽沿着供应链蔓延到系统供应商及其客户:
Binarly钻研人员示意,lighttpd的破绽被修复后,包括AMI和ATEN在内的BMC制作商仍在经常使用受影响的lighttpd版本,并且这种状况继续了多年,多家主机厂商在过去几年间继续将存在破绽的BMC整合到配件中。Binarly识别出其中三家主机制作商:英特尔、联想和超微(Supermicro)。
“多年来,(lighttpd破绽)不时存在于固件中,没有人关心更新用于BMC固件镜像的第三方组件,”Binarly钻研人员写道:“这又是固件供应链治理不足分歧性的典型案例,最新版本的固件中存在一个重大过期的第三方组件,为最终用户带来了额外的危险。预计业界还有更多经常使用易受攻打的lighttpd版本的主机系统。”
操作系统会经过地址空间规划随机化(ASLR)来暗藏处置关键性能的敏感内存地址,以防止被用于软件破绽应用。钻研人员示意,只管lighttpd只是一个中危破绽,但是联合其余破绽,黑客能够绕过ASLR的包全,识别担任处置关键性能的内存地址。
破绽宽泛存在但难以修复
跟踪多种主机配件中的各种BMC组件供应链很艰巨。到目前为止,Binarly曾经识别出AMI的MegaRAC BMC是易受攻打的BMC之一。Binarly发现AMI从2019年到2023年时期未运行Lighttpd修复程序,造成这些年来数以万计易受远程可应用破绽攻打的设施推出。
已知受影响设施的供应商包括英特尔和联想。Binarly公司指出,最近于2023年2月22日发布的一些英特尔系统也蕴含易受攻打的组件。无关ATENBMC的信息目前尚无法用。
要挟剖析师依据Lighttpd破绽对不同供应商和设施的影响,为其调配了三个外部标识符:
依据Binarly的报告,英特尔和联想均示意受影响主机型号已到达产品经常使用寿命(EOL),不再接纳安保更新。换而言之,英特尔和联想均不方案发布修复程序,这象征着这些主机配件在退役之前或者依然容易遭到攻打。(超微的受影响产品仍取得支持)
更蹩脚的是,Binarly宣称有“少量”易受攻打且地下可用的BMC设施已到达经常使用寿命,并且因为不足补丁而将永远坚持易受攻打的形态。
钻研人员示意,主机行业对该破绽反响淡薄,未能成功咨询到lighttpd开发人员和大少数受影响的主机配件制作商,一位AMI代表则拒绝评论破绽。