近日，英特爾、聯(lián)想等多個廠商銷售的服務(wù)器硬件曝出一個難以修復(fù)的遠(yuǎn)程可利用漏洞。該漏洞屬于供應(yīng)鏈漏洞，源自一個被多家服務(wù)器廠商整合到產(chǎn)品中的開源軟件包——Lighttpd。

Lighttpd是一款開源Web服務(wù)器，以輕量級、快速且高效而聞名，非常適合高流量網(wǎng)站，同時消耗較少的系統(tǒng)資源。該漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服務(wù)器硬件中。

漏洞潛伏六年，服務(wù)器供應(yīng)鏈安全堪憂

安全公司Binarly的研究人員近日證實(shí)，英特爾、聯(lián)想和超微（Supermicro）等公司銷售的服務(wù)器硬件中存在一個潛伏長達(dá)6年的漏洞，可被黑客利用泄露關(guān)鍵安全信息。研究人員進(jìn)一步警告，任何使用美國佐治亞州Duluth公司（AMI）或中國臺灣省AETN生產(chǎn)的特定型號的BMC（基板管理控制器）的服務(wù)器硬件都會受到影響。

BMC是焊接在服務(wù)器主板上的微型計(jì)算機(jī)，被云計(jì)算中心（有時也包括其客戶）用于遠(yuǎn)程管理龐大的服務(wù)器集群。管理員可通過BMC遠(yuǎn)程重新安裝操作系統(tǒng)、安裝和卸載應(yīng)用程序，并可幾乎完全控制系統(tǒng)——即使服務(wù)器處于關(guān)閉狀態(tài)。BMC成就了業(yè)界所稱的“無燈”系統(tǒng)管理，AMI和AETN是眾多BMC制造商中較為知名的兩家。

多年來，很多品牌的BMC產(chǎn)品都集成了存在漏洞的開源軟件lighttpd，后者是一個快速輕量級的Web服務(wù)器，兼容各種硬件和軟件平臺。lighttpd被廣泛用于各種產(chǎn)品，包括嵌入式設(shè)備（例如BMC），允許遠(yuǎn)程管理員通過HTTP請求遠(yuǎn)程控制服務(wù)器。

2018年，lighttpd開發(fā)人員發(fā)布了一個新版本，修復(fù)了“各種釋放后利用場景”，這是一個含糊其辭的描述，實(shí)際是修復(fù)了一個可遠(yuǎn)程利用的堆越界（OOB）讀取漏洞，但由于開發(fā)人員并未在更新中使用“漏洞”一詞，也沒有按照常規(guī)操作分配CVE漏洞編號，這導(dǎo)致AMI Mega RACBMC的開發(fā)人員錯過了修復(fù)并未能將其集成到產(chǎn)品中。結(jié)果，該漏洞沿著供應(yīng)鏈蔓延到系統(tǒng)供應(yīng)商及其客戶：

Binarly研究人員表示，lighttpd的漏洞被修復(fù)后，包括AMI和ATEN在內(nèi)的BMC制造商仍在使用受影響的lighttpd版本，并且這種情況持續(xù)了多年，多家服務(wù)器廠商在過去幾年間繼續(xù)將存在漏洞的BMC整合到硬件中。Binarly識別出其中三家服務(wù)器制造商：英特爾、聯(lián)想和超微（Supermicro）。

“多年來，（lighttpd漏洞）一直存在于固件中，沒有人關(guān)心更新用于BMC固件鏡像的第三方組件，”Binarly研究人員寫道：“這又是固件供應(yīng)鏈管理缺乏一致性的典型案例，最新版本的固件中存在一個嚴(yán)重過時的第三方組件，為最終用戶帶來了額外的風(fēng)險。估計(jì)業(yè)界還有更多使用易受攻擊的lighttpd版本的服務(wù)器系統(tǒng)。”

操作系統(tǒng)會通過地址空間布局隨機(jī)化(ASLR)來隱藏處理關(guān)鍵功能的敏感內(nèi)存地址，以防止被用于軟件漏洞利用。研究人員表示，雖然lighttpd只是一個中危漏洞，但是結(jié)合其他漏洞，黑客能夠繞過ASLR的保護(hù)，識別負(fù)責(zé)處理關(guān)鍵功能的內(nèi)存地址。

漏洞廣泛存在但難以修復(fù)

跟蹤多種服務(wù)器硬件中的各種BMC組件供應(yīng)鏈很困難。到目前為止，Binarly已經(jīng)識別出AMI的MegaRAC BMC是易受攻擊的BMC之一。Binarly發(fā)現(xiàn)AMI從2019年到2023年期間未應(yīng)用Lighttpd修復(fù)程序，導(dǎo)致這些年來數(shù)以萬計(jì)易受遠(yuǎn)程可利用漏洞攻擊的設(shè)備推出。

已知受影響設(shè)備的供應(yīng)商包括英特爾和聯(lián)想。Binarly公司指出，最近于2023年2月22日發(fā)布的一些英特爾系統(tǒng)也包含易受攻擊的組件。有關(guān)ATENBMC的信息目前尚不可用。

威脅分析師根據(jù)Lighttpd漏洞對不同供應(yīng)商和設(shè)備的影響，為其分配了三個內(nèi)部標(biāo)識符：

• BRLY-2024-002：英特爾M70KLP系列固件版本01.04.0030（最新）中使用的Lighttpd版本1.4.45中存在特定漏洞，影響某些英特爾服務(wù)器型號。
• BRLY-2024-003：聯(lián)想服務(wù)器型號HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58（最新）內(nèi)的Lighttpd版本1.4.35中存在特定漏洞。
• BRLY-2024-004：LighttpdWeb服務(wù)器版本1.4.51之前的一般漏洞，允許從服務(wù)器的進(jìn)程內(nèi)存讀取敏感數(shù)據(jù)。

根據(jù)Binarly的報告，英特爾和聯(lián)想均表示受影響服務(wù)器型號已達(dá)到產(chǎn)品使用壽命（EOL），不再接收安全更新。換而言之，英特爾和聯(lián)想均不計(jì)劃發(fā)布修復(fù)程序，這意味著這些服務(wù)器硬件在退役之前可能仍然容易受到攻擊。（超微的受影響產(chǎn)品仍獲得支持）

更糟糕的是，Binarly聲稱有“大量”易受攻擊且公開可用的BMC設(shè)備已達(dá)到使用壽命，并且由于缺乏補(bǔ)丁而將永遠(yuǎn)保持易受攻擊的狀態(tài)。

研究人員表示，服務(wù)器行業(yè)對該漏洞反應(yīng)冷淡，未能成功聯(lián)系到lighttpd開發(fā)人員和大多數(shù)受影響的服務(wù)器硬件制造商，一位AMI代表則拒絕評論漏洞。