Una vulnerabilità quasi sei anni nel web server Lighttpd, utilizzato nei Baseboard Management Controllers (BMC), è stata trascurata da diversi fornitori di dispositivi, tra cui Intel e Lenovo. Questa falla di sicurezza potrebbe consentire l’esfiltrazione di indirizzi di memoria dei processi, facilitando agli aggressori la capacità di eludere meccanismi di protezione come l’Address Space Layout Randomization (ASLR).
Scoperta e impatto della vulnerabilità
Durante recenti analisi sui BMC, i ricercatori di Binarly, una società di sicurezza del firmware, hanno scoperto una vulnerabilità di lettura heap out-of-bounds (OOB) sfruttabile da remoto tramite il web server Lighttpd durante l’elaborazione di intestazioni HTTP “piegate”. Nonostante la vulnerabilità sia stata risolta nel Agosto 2018 dalla squadra di Lighttpd nella versione 1.4.51, la correzione è stata apportata in silenzio e senza assegnare un ID di tracciamento (CVE), causando la mancata integrazione della correzione nel prodotto AMI MegaRAC BMC.
Reazione dei fornitori e misure consigliate
I server di Intel e Lenovo risultano tra i dispositivi impattati, con alcune unità Intel rilasciate fino al 22 Febbraio 2023 che includono il componente vulnerabile. Tuttavia, entrambi i fornitori hanno indicato che i modelli interessati hanno raggiunto la fine del ciclo di vita (EOL) e non riceveranno più aggiornamenti di sicurezza, il che significa che rimarranno vulnerabili fino alla loro dismissione.
Implicazioni a Lungo Termine
Questa situazione sottolinea le lacune nella catena di fornitura del firmware che introducono rischi di sicurezza estesi nel tempo. La mancanza di trasparenza e la tardiva sensibilizzazione riguardo alla vulnerabilità da parte dei manutentori di Lighttpd hanno contribuito a questa problematica, portando a ritardi nell’integrazione delle correzioni necessarie.
Cos’è un Baseboard Managment Controller?
Un Baseboard Management Controller (BMC) è un microcontrollore incorporato in server, workstation o altri sistemi informatici, specialmente quelli destinati a utilizzi professionali o data center. Il suo ruolo principale è quello di fornire funzionalità di monitoraggio e gestione out-of-band per l’hardware del sistema, consentendo agli amministratori di sistema di controllare e gestire il server indipendentemente dallo stato operativo del sistema operativo o dalla funzionalità del sistema principale.
Un BMC può monitorare vari parametri di sistema come temperature, velocità delle ventole, tensioni di alimentazione e altri sensori critici. Inoltre, consente funzionalità di gestione remota, come il riavvio o lo spegnimento del sistema, l’accesso alla console di gestione, la gestione dei messaggi di allerta e molto altro, attraverso interfacce di rete dedicate.
Questa capacità di gestione indipendente rende i BMC strumenti essenziali per la manutenzione e l’amministrazione dei sistemi in ambienti dove l’affidabilità e la disponibilità sono critiche, permettendo agli amministratori di rispondere rapidamente ai problemi hardware e di garantire la continuità operativa anche in caso di guasti al sistema.
A cosa serve Lghttpd nei BMC?
Lighttpd, pronunciato “lighty”, è un web server ottimizzato per la velocità e l’efficienza, che trova impiego in diverse applicazioni, tra cui i Baseboard Management Controllers (BMC). Nei BMC, Lighttpd contribuisce a fornire un’interfaccia web leggera e veloce per la gestione remota dei server, offrendo una soluzione efficace per l’amministrazione di sistemi critici con risorse hardware limitate.
