Интернет без ограничений в России – с VPN через Телеграмм-бот:

Как небольшая оплошность в рамках цепочки поставок способна привести к катастрофе.

Шесть лет назад в веб-сервере Lighttpd, используемом в контроллерах управления серверными платами, обнаружили некую уязвимость. Её быстро исправили, однако продукты многих крупных производителей оборудования, включая Intel и Lenovo, до сих пор содержат её, подвергая риску конечных пользователей. Но как так вообще получилось?

Стоит начать с того, что Lighttpd — это веб-сервер с открытым исходным кодом, известный своим малым весом, скоростью и эффективностью, что делает его идеальным выбором для веб-сайтов с высокой посещаемостью, обеспечивая минимальное потребление системных ресурсов.

Исследователи из компании Binarly, специализирующейся на безопасности встроенных программных решений, включая прошивки BIOS и UEFI, с большим удивлением выяснили, что оборудование вышеозвученных производителей всё ещё подвержено этой самой уязвимости шестилетней давности.

Проблема была обнаружена во время недавних плановых сканирований контроллеров управления серверными платами (BMC). Эксперты обнаружили уязвимость удалённого считывания кучи за пределами границ (Out-of-bounds) через веб-сервер Lighttpd, обрабатывающий «свёрнутые» заголовки HTTP-запросов.

Как оказалось, хотя уязвимость и была устранена ещё в августе 2018 года, в версии Lighthttpd 1.4.51, разработчики исправили её в автоматическом режиме, без присвоения идентификатора отслеживания (CVE). Это привело к тому, что разработчики контроллеров AMI MegaRAC BMC пропустили исправление и не интегрировали его в свой продукт. Таким образом, уязвимость распространилась дальше по цепочке поставок к поставщикам систем и их клиентам.

Разблокируй интернет в России с помощью нашего VPN:

Как сообщают исследователи, проблема безопасности может привести к удалённому чтению данных из памяти процессов, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация размещения адресного пространства (ASLR).

  Луна вывернулась наизнанку 4,2 миллиарда лет назад

Binarly сообщила, что уязвимые продукты включают устройства от Intel, Lenovo и Supermicro. На сегодняшний день в полевых условиях насчитывается более 2000 уязвимых устройств, а реальное число может быть ещё больше.

Аналитики безопасности присвоили уязвимости Lighttpd три внутренних идентификатора в зависимости от её воздействия на различных поставщиков и устройства:

  • BRLY-2024-002: специфическая уязвимость в Lighttpd версии 1.4.45, используемая в прошивках Intel серии M70KLP версии 01.04.0030 (последней), влияющая на определённые модели серверов Intel.
  • BRLY-2024-003: специфическая уязвимость в Lighttpd версии 1.4.35 в прошивке Lenovo BMC версии 2.88.58 (последней), используемой в серверных моделях Lenovo HX3710, HX3710-F и HX2710-E.
  • BRLY-2024-004: общая уязвимость в веб-серверах Lighttpd версий до 1.4.51, позволяющая считывать конфиденциальные данные из оперативной памяти сервера.

Как Intel, так и Lenovo, подтвердили, что затронутые модели больше не поддерживаются и не получают обновлений безопасности, что делает их уязвимыми до момента утилизации.

Отсутствие ясности и прозрачности от разработчиков Lighttpd в вопросе информирования о данной уязвимости сыграло ключевую роль в возникновении проблемы. Отсутствие должного внимания к столь важному вопросу привело к тому, что производители не интегрировали необходимые исправления вовремя.

Binarly подчёркивает, что уязвимые устройства BMC, достигшие конца срока поддержки, останутся уязвимыми навсегда из-за отсутствия обновлений, в связи с чем их необходимо как можно скорее заменить на новые.

Данный инцидент подчёркивает важность прозрачности, своевременности информирования и ответственности всех участников, задействованных в процессе обеспечения безопасности программных и аппаратных продуктов. Только так можно избежать риска для цепочки поставок, чтобы спустя годы не обнаружить, что исправить проблему уже не представляется возможным.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

  Кибертерроризм в больнице: французы лишились врачей из-за хакеров

Купить анонимный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень анонимности и конфиденциальности при использовании интернета. Анонимный VPN помогает скрыть вашу личность, местоположение и онлайн-активность от посторонних, включая интернет-провайдеров, хакеров и государственные органы.

Почему стоит купить анонимный VPN?

  • Защита конфиденциальности: Анонимный VPN помогает защитить вашу личную информацию от слежки и утечек, что особенно важно в условиях растущей онлайн-угрозы.

  • Безопасность в общественных сетях: Используя анонимный VPN, вы можете безопасно подключаться к общественным Wi-Fi сетям, защищая свои данные от кражи.

  • Анонимное серфинг: Анонимный VPN позволяет вам без опасений исследовать интернет, не беспокоясь о том, что кто-то может отслеживать вашу активность.

  • Гибкость и удобство: Анонимные VPN-сервисы часто предлагают различные настройки и функции, что позволяет пользователю адаптировать сервис под свои нужды.

Добавить комментарий