Une vulnérabilité vieille de près de 6 ans dans le serveur Web Lighttpd utilisé dans les contrôleurs de gestion de plinthes a été négligée par de nombreux fournisseurs de périphériques, y compris Intel et Lenovo.

Le problème de sécurité pourrait entraîner l’exfiltration des adresses de mémoire de processus, ce qui pourrait aider les attaquants à contourner les mécanismes de protection tels que la randomisation de la disposition de l’espace d’adressage (ASLR).

Lighttpd est un serveur Web open source connu pour être léger, rapide et efficace, ce qui le rend idéal pour les sites Web à fort trafic tout en consommant un minimum de ressources système.

Lors d’analyses récentes des contrôleurs de gestion de plinthes (BMC), des chercheurs de la société de sécurité du micrologiciel Binarly ont découvert une vulnérabilité de lecture hors limites (OOB) exploitable à distance via le serveur Web Lighttpd traitant les en-têtes de requête HTTP « repliés ».

Bien que la vulnérabilité ait été corrigée en août 2018, les responsables de Lighthttpd l’ont corrigée silencieusement dans la version 1.4.51 sans attribuer d’identifiant de suivi (CVE).

Cela a conduit les développeurs d’AMI MegaRAC BMC à rater le correctif et à ne pas l’intégrer au produit. La vulnérabilité s’est ainsi répercutée sur la chaîne d’approvisionnement des fournisseurs de systèmes et de leurs clients.

Vulnérabilité Lighttpd dans la chaîne d’approvisionnement

Impact et statut
Les BMC sont des microcontrôleurs intégrés sur des cartes mères de qualité serveur, y compris des systèmes utilisés dans des centres de données et des environnements cloud, qui permettent la gestion à distance, le redémarrage, la surveillance et la mise à jour du micrologiciel sur l’appareil.

Binarly a constaté qu’AMI n’avait pas appliqué le correctif Lighttpd de 2019 à 2023, entraînant le déploiement d’un grand nombre d’appareils vulnérables au bogue exploitable à distance tout au long de ces années.

«  »Selon les données de la plateforme de transparence binaire, nous constatons que plusieurs produits d’Intel, Lenovo et Supermicro sont touchés », a déclaré Binarly à Breachtrace.

« D’après nos données, plus de 2000 appareils sont impactés sur le terrain. En réalité, ce nombre est encore plus grand. »

Chronologie d’une faille non corrigée

Les analystes des menaces ont attribué trois identifiants internes à la vulnérabilité Lighttpd en fonction de son impact sur différents fournisseurs et appareils:

  • BARELY-2024-002: Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (dernière) du micrologiciel de la série M70KLP d’Intel, affectant certains modèles de serveurs Intel.
  • À PEINE-2024-003: Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le micrologiciel Lenovo BMC version 2.88.58 (dernière) utilisée dans les modèles de serveurs Lenovo HX3710, HX3710-F et HX2710-E.
  • BARELY-2024-004: Vulnérabilité générale dans les versions du serveur Web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles à partir de la mémoire de processus du serveur.

Parmi les fournisseurs d’appareils concernés figurent Intel et Lenovo, qui ont notifié le problème sur leurs appareils. La société de sécurité du micrologiciel note que certains systèmes Intel publiés aussi récemment que le 22 février 2023 incluent le composant vulnérable.

Cependant, les deux fournisseurs ont déclaré que les modèles concernés avaient atteint la fin de vie (EOL) et ne recevaient plus de mises à jour de sécurité, ce qui signifie qu’ils resteraient probablement vulnérables jusqu’à leur mise hors service.

Impact du fournisseur (Intel en haut, Lenovo en bas)

Selon Binary, il existe un « nombre massif » d’appareils BMC vulnérables et accessibles au public qui ont atteint la fin de vie et resteront vulnérables pour toujours en raison du manque de correctifs.

Binary report fournit des détails techniques sur la vulnérabilité et son fonctionnement, ce qui pourrait permettre à un attaquant de développer un exploit. Les chercheurs notent qu’il s’agit d’un autre exemple de lacunes dans la chaîne d’approvisionnement du micrologiciel qui introduisent des risques de sécurité qui pourraient s’étendre sur plusieurs années.

Le manque de transparence et le fait de ne pas sensibiliser les responsables de Lighttpd à la vulnérabilité ajoutent également au problème, ce qui conduit les fournisseurs à ne pas intégrer les correctifs nécessaires en temps voulu.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *