VULNERABILITA’ VECCHIA DI 6 ANNI INTERESSA SERVER INTEL, LENOVO E SUPERMICRO
I Baseboard Management Controllers (BMC) sono componenti presenti su molte schede madri comunemente utilizzate nei sistemi server, nei dispositivi di rete e in altre apparecchiature informatiche. Il BMC svolge diverse funzioni cruciali per la gestione e il monitoraggio del sistema, anche a livello remoto. La novità è che un gruppo di ricercatori ha scoperto una grave vulnerabilità di Sicurezza che affligge il server Web Lighttpd utilizzati da molti controller largamente impiegati nei data center e nelle aziende.
LIGHTTPD E LA VULNERABILITA’ DI HEAP OUT-OF-BOUNDS
Lighttpd è un server Web open source noto per essere leggero, veloce ed efficiente, ideale per applicazioni ad alto traffico, grazie anche al fatto che consuma risorse di sistema limitatissime. Una vulnerabilità di tipo heap out-of-bounds si verifica quando un programma interagisce con i dati contenuti nella memoria heap al di fuori dei limiti consentiti, cioè quando tenta di accedere a una porzione di memoria che non è stata allocata per il suo utilizzo. Nel caso in questione, la lacuna di sicurezza può portare alla lettura non autorizzata di informazioni contenute in memoria, superando anche meccanismi di difesa quali ASLR (Address Space Layout Randomization).
CORREZIONE SILENZIOSA E IMPATTO SULLA SICUREZZA DEI SERVER
Gli sviluppatori di Lighttpd hanno affrontato e corretto la lacuna di sicurezza ad agosto 2018 ma l’intervento è avvenuto in modo silenzioso con il rilascio della release 1.4.51 del server Web, senza l’assegnazione di un identificativo (CVE). Questo comportamento ha permesso alla vulnerabilità di rimanere latente per diversi anni, compromettendo la sicurezza di numerosi server a marchio Intel, Lenovo e Supermicro che utilizzano il controller AMI MegaRAC BMC.
LA DEBOLEZZA DELLA CATENA DI APPROVVIGIONAMENTO
Il comportamento tenuto dai responsabili del progetto Lighttpd ha indotto gli sviluppatori del controller AMI MegaRAC BMC a non integrare la correzione della vulnerabilità nei prodotti, generando un impatto diffuso lungo l’intera catena di approvvigionamento fino ai fornitori di sistemi e ai loro clienti. Gli analisti di Binarly hanno individuato tre codici identificativi per le lacune di sicurezza di Lighttpd: BRLY-2024-002, BRLY-2024-003 e BRLY-2024-004.
FINE DEL CICLO DI VITA DEI SERVER INTERESSATI
Intel e Lenovo hanno dichiarato che i server interessati dalla vulnerabilità hanno già raggiunto la fine del loro ciclo di vita. Questo significa che la correzione della falla di sicurezza potrebbe non essere più implementata e che i dispositivi rimarranno vulnerabili in modo permanente. Binarly ha evidenziato l’esistenza di un “massiccio numero” di dispositivi BMC vulnerabili e pubblicamente disponibili che, non essendo più supportati, rimarranno esposti a rischi di sicurezza.
CONCLUSIONE
In conclusione, la scoperta di una grave vulnerabilità di sicurezza a carico dei server Intel, Lenovo e Supermicro evidenzia le criticità nella gestione delle patch e nella sicurezza informatica lungo la catena di approvvigionamento. È importante che le aziende adottino protocolli rigorosi per il monitoraggio costante delle vulnerabilità e l’applicazione tempestiva delle correzioni al fine di garantire la protezione dei dati e dei sistemi informatici.