英特爾、聯想等服務器曝出難以修復的漏洞
近日,英特爾、聯想等多個廠商銷售的服務器硬件曝出一個難以修復的遠程可利用漏洞。該漏洞屬于供應鏈漏洞,源自一個被多家服務器廠商整合到產品中的開源軟件包——Lighttpd。
Lighttpd是一款開源Web服務器,以輕量級、快速且高效而聞名,非常適合高流量網站,同時消耗較少的系統資源。該漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服務器硬件中。
漏洞潛伏六年,服務器供應鏈安全堪憂
安全公司Binarly的研究人員近日證實,英特爾、聯想和超微(Supermicro)等公司銷售的服務器硬件中存在一個潛伏長達6年的漏洞,可被黑客利用泄露關鍵安全信息。研究人員進一步警告,任何使用美國佐治亞州Duluth公司(AMI)或中國臺灣省AETN生產的特定型號的BMC(基板管理控制器)的服務器硬件都會受到影響。
BMC是焊接在服務器主板上的微型計算機,被云計算中心(有時也包括其客戶)用于遠程管理龐大的服務器集群。管理員可通過BMC遠程重新安裝操作系統、安裝和卸載應用程序,并可幾乎完全控制系統——即使服務器處于關閉狀態。BMC成就了業界所稱的“無燈”系統管理,AMI和AETN是眾多BMC制造商中較為知名的兩家。
多年來,很多品牌的BMC產品都集成了存在漏洞的開源軟件lighttpd,后者是一個快速輕量級的Web服務器,兼容各種硬件和軟件平臺。lighttpd被廣泛用于各種產品,包括嵌入式設備(例如BMC),允許遠程管理員通過HTTP請求遠程控制服務器。
2018年,lighttpd開發人員發布了一個新版本,修復了“各種釋放后利用場景”,這是一個含糊其辭的描述,實際是修復了一個可遠程利用的堆越界(OOB)讀取漏洞,但由于開發人員并未在更新中使用“漏洞”一詞,也沒有按照常規操作分配CVE漏洞編號,這導致AMI Mega RACBMC的開發人員錯過了修復并未能將其集成到產品中。結果,該漏洞沿著供應鏈蔓延到系統供應商及其客戶:
Binarly研究人員表示,lighttpd的漏洞被修復后,包括AMI和ATEN在內的BMC制造商仍在使用受影響的lighttpd版本,并且這種情況持續了多年,多家服務器廠商在過去幾年間繼續將存在漏洞的BMC整合到硬件中。Binarly識別出其中三家服務器制造商:英特爾、聯想和超微(Supermicro)。
“多年來,(lighttpd漏洞)一直存在于固件中,沒有人關心更新用于BMC固件鏡像的第三方組件,”Binarly研究人員寫道:“這又是固件供應鏈管理缺乏一致性的典型案例,最新版本的固件中存在一個嚴重過時的第三方組件,為最終用戶帶來了額外的風險。估計業界還有更多使用易受攻擊的lighttpd版本的服務器系統。”
操作系統會通過地址空間布局隨機化(ASLR)來隱藏處理關鍵功能的敏感內存地址,以防止被用于軟件漏洞利用。研究人員表示,雖然lighttpd只是一個中危漏洞,但是結合其他漏洞,黑客能夠繞過ASLR的保護,識別負責處理關鍵功能的內存地址。
漏洞廣泛存在但難以修復
跟蹤多種服務器硬件中的各種BMC組件供應鏈很困難。到目前為止,Binarly已經識別出AMI的MegaRAC BMC是易受攻擊的BMC之一。Binarly發現AMI從2019年到2023年期間未應用Lighttpd修復程序,導致這些年來數以萬計易受遠程可利用漏洞攻擊的設備推出。
已知受影響設備的供應商包括英特爾和聯想。Binarly公司指出,最近于2023年2月22日發布的一些英特爾系統也包含易受攻擊的組件。有關ATENBMC的信息目前尚不可用。
威脅分析師根據Lighttpd漏洞對不同供應商和設備的影響,為其分配了三個內部標識符:
- BRLY-2024-002:英特爾M70KLP系列固件版本01.04.0030(最新)中使用的Lighttpd版本1.4.45中存在特定漏洞,影響某些英特爾服務器型號。
- BRLY-2024-003:聯想服務器型號HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58(最新)內的Lighttpd版本1.4.35中存在特定漏洞。
- BRLY-2024-004:LighttpdWeb服務器版本1.4.51之前的一般漏洞,允許從服務器的進程內存讀取敏感數據。
根據Binarly的報告,英特爾和聯想均表示受影響服務器型號已達到產品使用壽命(EOL),不再接收安全更新。換而言之,英特爾和聯想均不計劃發布修復程序,這意味著這些服務器硬件在退役之前可能仍然容易受到攻擊。(超微的受影響產品仍獲得支持)
更糟糕的是,Binarly聲稱有“大量”易受攻擊且公開可用的BMC設備已達到使用壽命,并且由于缺乏補丁而將永遠保持易受攻擊的狀態。
研究人員表示,服務器行業對該漏洞反應冷淡,未能成功聯系到lighttpd開發人員和大多數受影響的服務器硬件制造商,一位AMI代表則拒絕評論漏洞。
