I Baseboard Management Controllers (BMC) sono componenti presenti su molte schede madri comunemente utilizzate nei sistemi server, nei dispositivi di rete e in altre apparecchiature informatiche. Il BMC svolge diverse funzioni cruciali per la gestione e il monitoraggio del sistema, anche a livello remoto. La novità è che un gruppo di ricercatori ha scoperto una grave vulnerabilità di sicurezza che affligge il server Web Lighttpd utilizzati da molti controller largamente impiegati nei data center e nelle aziende.
Vulnerabilità scuote alcuni server Intel, Lenovo e Supermicro: è presente da 6 anni
Lighttpd è un server Web open source noto per essere leggero, veloce ed efficiente, ideale per applicazioni ad alto traffico, grazie anche al fatto che consuma risorse di sistema limitatissime.
Durante recenti scansioni effettuate sui controller BMC, i ricercatori di Binarly hanno scoperto una vulnerabilità heap out-of-bounds (OOB) sfruttabile da remoto proprio attraverso il server Lighttpd.
Una vulnerabilità di tipo heap out-of-bounds (OOB) si verifica quando un programma interagisce con i dati contenuti nella memoria heap al di fuori dei limiti consentiti, cioè quando tenta di accedere a una porzione di memoria che non è stata allocata per il suo utilizzo.
Nel caso in questione, la lacuna di sicurezza può portare alla lettura non autorizzata di informazioni contenute in memoria, superando anche meccanismi di difesa quali ASLR (Address Space Layout Randomization).
Gli sviluppatori di Lighttpd hanno affrontato e corretto la lacuna di sicurezza ad agosto 2018 ma l’intervento è avvenuto in modo silenzioso con il rilascio della release 1.4.51 del server Web, senza l’assegnazione di un identificativo (CVE).
Fonte dell’immagine: Binarly.
Ancora una volta la catena di approvvigionamento mostra le sue debolezze
Il comportamento tenuto dai responsabili del progetto Lighttpd, ha indotto gli sviluppatori del controller AMI MegaRAC BMC – integrato in molti server a marchio Intel, Lenovo e Supermicro – a non rilevare la correzione, non integrandola quindi nel prodotto. La vulnerabilità si è così riverberata lungo l’intera catena di approvvigionamento (supply chain) fino ai fornitori di sistemi e ai loro clienti.
Gli analisti di Binarly hanno assegnato tre codici identificativi alle lacune di sicurezza di Lighttpd che, a distanza di 6 anni, continuano a impattare sui server di diversi brand: BRLY-2024-002, BRLY-2024-003 e BRLY-2024-004.
Nel frattempo, sia Intel che Lenovo hanno dichiarato che i server interessati dal problema hanno già raggiunto la fine del loro ciclo di vita. È quindi assai probabile che le vulnerabilità restino irrisolte e che i produttori non rilascino patch correttive.
Secondo gli esperi di Binarly, in circolazione vi sarebbe un “massiccio numero” di dispositivi BMC vulnerabili e pubblicamente disponibili che hanno raggiunto la fine della loro vita ma che resteranno vulnerabili per sempre per via della mancanza di patch.
Incorporati nelle motherboard, i BMC che consentono la gestione remota, il riavvio, il monitoraggio e l’aggiornamento del firmware sui singoli dispositivi nei data center e negli ambienti cloud.