英特爾和聯想的硬件在五年內一直存在可被入侵的漏洞,而這個漏洞將永遠無法修複。供應鏈中的多個環節多年來未能識別出這個未修複的漏洞。像英特爾和聯想這樣的公司多年來銷售的硬件中含有一個可遠程利用的漏洞,這個漏洞將永遠無法修複。其原因是涉及到一個開源軟件包和多個制造商的硬件的供應鏈問題,這些制造商直接或間接地將該軟件包整合到了他們的産品中。
安全公司Binarly的研究人員證實,這一疏忽導致了英特爾、聯想和Supermicro出貨的服務器硬件中含有一個可被利用的漏洞,可以用來泄露安全關鍵信息。然而,研究人員繼續警告說,任何集成了由美國杜盧斯基地的AMI公司或台灣AETN公司制造的某些世代基板管理控制器的硬件也會受到影響。
基板管理控制器(BMC)是焊接在服務器主板上的微型計算機,允許雲中心以及有時候它們的客戶遠程管理大量服務器。它們使管理員能夠遠程重新安裝操作系統,安裝和卸載應用程序,並控制系統的幾乎所有其他方面,甚至在關閉狀態下也可以。BMC提供了業界所稱的“無人值守”系統管理。AMI和AETN是幾家BMC制造商之一。
多年來,多個制造商的BMC都集成了一個名爲lighttpd的開源軟件的受影響版本。Lighttpd是一個快速輕量級的Web服務器,與各種硬件和軟件平台兼容。它被用于各種産品中,包括嵌入式設備如BMC,以允許遠程管理員通過HTTP請求遠程控制服務器。
2018年,lighttpd的開發人員發布了一個新版本,修複了“各種使用後釋放場景”,這是對一類漏洞的模糊描述,這些漏洞可被遠程利用來篡改受影響軟件的安全敏感內存功能。盡管有這個描述,但更新沒有使用“漏洞”一詞,並且也沒有像慣例那樣包含CVE漏洞跟蹤號。
Binarly的研究人員表示,當漏洞修複時,包括AMI和ATEN在內的BMC制造商正在使用受影響的lighttpd版本,並在接下來的多年內繼續使用。服務器制造商反過來在同一多年的時間段內繼續將易受攻擊的BMC集成到他們的硬件中。Binarly已確定英特爾、聯想和Supermicro三家制造商的産品受影響。英特爾去年剛剛銷售的硬件受到影響。Binarly表示,英特爾和聯想都沒有發布修複計劃,因爲他們不再支持受影響的硬件。Supermicro的受影響産品仍在受支持。
“多年來,[lighttpd漏洞]一直存在于固件中,但沒有人關心更新用于構建此固件圖像的第三方組件之一,” Binarly研究人員在周四寫道。“這是固件供應鏈中不一致性的另一個完美例子。非常過時的第三方組件存在于最新版本的固件中,爲最終用戶帶來了額外的風險。在整個行業中還有更多使用受影響lighttpd版本的系統嗎?”
打敗ASLR
該漏洞使黑客有可能識別出負責處理關鍵功能的內存地址。操作系統會費盡周折地對這些位置進行隨機化和隱藏,以防止它們在軟件利用中被使用。通過將對lighttpd漏洞的利用與另一個漏洞鏈接起來,黑客可以擊敗這種標准保護措施,這種保護措施被稱爲地址空間布局隨機化。將兩個或更多的利用鏈在一起已經成爲當今黑客攻擊的一個常見特征,因爲軟件制造商繼續向他們的代碼中添加反利用保護。
跟蹤用于多種服務器硬件中的多個BMC的供應鏈是困難的。到目前爲止,Binarly已確認AMI的MegaRAC BMC是受影響的BMC之一。該安全公司已確認AMI BMC包含在英特爾Server System M70KLP硬件中。目前還沒有關于ATEN的BMC或聯想和Supermicro的硬件的信息。該漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何硬件中。
在一份聲明中,聯想公司的官員寫道:
聯想已經意識到了 Binarly 發現的 AMI MegaRAC 問題。我們正在與供應商合作,查明對聯想産品可能造成的任何潛在影響。具有 XClarity Controller(XCC)的 ThinkSystem 服務器和具有集成管理模塊 v2(IMM2)的 System x 服務器不使用 MegaRAC,因此不受影響。
一位 AMI 代表拒絕就此漏洞發表評論,但補充了有關安全是重要優先事項的標准聲明。英特爾代表確認了 Binarly 報告的准確性。超微代表未回複一封尋求確認報告的電子郵件。
lighttpd 漏洞是一種堆棧越界讀取漏洞,由于 HTTP 請求解析邏輯中的錯誤而導致。黑客可以利用惡意設計的 HTTP 請求來利用它。
“潛在攻擊者可以利用此漏洞讀取 Lighttpd Web 服務器進程的內存,” Binarly 研究人員在一份咨詢中寫道。“這可能導致敏感數據泄露,例如內存地址,這些地址可以用于繞過 ASLR 等安全機制。”
這不是 Binarly 發現的第一個重大供應鏈失誤。去年十二月,該公司披露了 LogoFail,這是一種攻擊,通過在幾乎所有統一可擴展固件接口中使用的過時固件在引導啓動序列早期執行惡意固件,負責引導運行 Windows 或 Linux 的現代設備。
使用超微設備的個人或組織應向制造商查詢可能的修複信息。由于英特爾或聯想沒有可用的修複措施,受影響硬件的用戶沒有太多可做的。然而,值得明確提到的是,lighttpd 漏洞的嚴重性僅爲中等,除非攻擊者擁有更嚴重漏洞的工作利用程序,否則沒有價值。一般來說,BMC 應僅在需要時啓用,並且應小心鎖定,因爲它們允許通過互聯網發送的簡單 HTTP 請求對整個服務器群進行非凡控制。
