Uma vulnerabilidade que já dura quase seis anos no servidor web Lighttpd usado em controladores de gerenciamento de motherboards, foi ignorada por muitos fornecedores de dispositivos, incluindo Intel e Lenovo. O problema de segurança tem potencial de levar à exfiltração de endereços de memória de processo, o que pode ajudar os invasores a contornar mecanismos de proteção como o Address Space Layout Randomization (ASLR).
O Lighttpd é um servidor web de código aberto conhecido por ser leve, rápido e eficiente, tornando-o ideal para sites de alto tráfego enquanto consome recursos mínimos do sistema.
Durante verificações recentes do Baseboard Management Controllers (BMC), pesquisadores da empresa de segurança de firmware Binarly descobriram uma vulnerabilidade de leitura heap out-of-bounds (fora dos limites) explorável remotamente através do servidor web Lighttpd processando cabeçalhos de solicitação HTTP “dobrados”.
Embora a vulnerabilidade tenha sido corrigida em agosto de 2018, os mantenedores do Lighttpd a corrigiram silenciosamente na versão 1.4.51, sem atribuir um ID de rastreamento (CVE). Isso fez com que os desenvolvedores do AMI MegaRAC BMC perdessem a correção e não conseguissem integrá-la ao produto. A vulnerabilidade, portanto, espalhou-se pela cadeia de fornecimento até os fornecedores de sistemas e seus clientes. BMCs são microcontroladores incorporados em placas-mãe de servidores, incluindo sistemas usados em data centers e ambientes de nuvem, que permitem gerenciamento remoto, reinicialização, monitoramento e atualização de firmware no dispositivo.
A Binarly descobriu que a AMI não conseguiu aplicar a correção Lighttpd de 2019 a 2023, levando à implementação de um grande número de dispositivos vulneráveis ao bug explorável remotamente ao longo desses anos.
Os analistas de ameaças da Binarly atribuíram três identificadores internos à vulnerabilidade Lighttpd com base no seu impacto em diferentes fornecedores e dispositivos:
• BRLY-2024-002: vulnerabilidade específica no Lighttpd versão 1.4.45 usado no firmware da série M70KLP da Intel versão 01.04.0030 (mais recente), afetando determinados modelos de servidores Intel.
• BRLY-2024-003: vulnerabilidade específica no Lighttpd versão 1.4.35 no firmware Lenovo BMC versão 2.88.58 (mais recente) usado nos modelos de servidor Lenovo HX3710, HX3710-F e HX2710-E.
• BRLY-2024-004: vulnerabilidade geral em versões de servidores web Lighttpd anteriores a 1.4.51, permitindo a leitura de dados sensíveis da memória de processos do servidor.
Entre os fornecedores com dispositivos impactados estão Intel e Lenovo, que notificaram Binarly sobre o problema em seus dispositivos. A empresa de segurança de firmware observa que alguns sistemas Intel lançados recentemente, em 22 de fevereiro de 2023, incluem o componente vulnerável. No entanto, ambas fabricantes disseram que os modelos afetados atingiram o fim da vida útil (EOL) e não recebem mais atualizações de segurança, o que significa que provavelmente permanecerão vulneráveis até serem desativados.
De acordo com a Binarly, há um “número enorme” de dispositivos BMC vulneráveis e disponíveis publicamente que atingiram o fim da vida útil e permanecerão vulneráveis para sempre devido à falta de patches.
O relatório da Binarly fornece detalhes técnicos sobre a vulnerabilidade e como ela funciona, o que poderia permitir que um invasor desenvolvesse uma exploração.
Fonte: CisoAdvisor
