Intel
El hardware vendido durante años por empresas como Intel y Lenovo contiene una vulnerabilidad explotable de forma remota que nunca se solucionará. La causa: un problema en la cadena de suministro que involucró un paquete de software y hardware de código abierto de múltiples fabricantes que lo incorporaron directa o indirectamente a sus productos.
Investigadores de la firma de seguridad Binarly han confirmado que el error ha provocado que Intel, Lenovo y Supermicro envíen hardware de servidor que contiene una vulnerabilidad que puede explotarse para revelar información crítica para la seguridad. Sin embargo, los investigadores advirtieron que cualquier hardware que incorpore ciertas generaciones de controladores de administración de placa base fabricados por AMI con sede en Duluth, Georgia o AETN con sede en Taiwán también se ve afectado.
Cadena de tontos
Los BMC son pequeñas computadoras soldadas a la placa base de los servidores que permiten a los centros en la nube, y a veces a sus clientes, agilizar la administración remota de vastas flotas de servidores. Permiten a los administradores reinstalar sistemas operativos, instalar y desinstalar aplicaciones de forma remota y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado. Los BMC proporcionan lo que en la industria se conoce como gestión de sistemas “sin luces”. AMI y AETN son dos de varios fabricantes de BMC.
Durante años, los BMC de múltiples fabricantes han incorporado versiones vulnerables de software de código abierto conocido como luztpd. Lighttpd es un servidor web rápido y liviano que es compatible con varias plataformas de hardware y software. Se utiliza en todo tipo de productos, incluso en dispositivos integrados como BMC, para permitir a los administradores remotos controlar servidores de forma remota con solicitudes HTTP.
En 2018, los desarrolladores de lighttpd lanzaron un nueva versión que solucionó “varios escenarios de uso después de la liberación”, una vaga referencia a una clase de vulnerabilidad que puede ser explotable de forma remota para alterar las funciones de memoria sensibles a la seguridad del software afectado. A pesar de la descripción, la actualización no utilizó la palabra “vulnerabilidad” y no incluyó un número de seguimiento de vulnerabilidad CVE como es habitual.
Los fabricantes de BMC, incluidos AMI y ATEN, estaban utilizando versiones afectadas de lighttpd cuando se solucionó la vulnerabilidad y continuaron haciéndolo durante años, dijeron los investigadores de Binarly. Los fabricantes de servidores, a su vez, continuaron instalando BMC vulnerables en su hardware durante el mismo período de varios años. Binarly ha identificado tres de esos fabricantes de servidores: Intel, Lenovo y Supermicro. El hardware vendido por Intel el año pasado se ve afectado. Binarly dijo que tanto Intel como Lenovo no tienen planes de publicar correcciones porque ya no admiten el hardware afectado. Los productos afectados de Supermicro siguen siendo compatibles.
“Todos estos años, [the lighttpd vulnerability] estaba presente dentro del firmware y a nadie le importó actualizar uno de los componentes de terceros utilizados para crear esta imagen de firmware”, investigadores de Binarly. escribió el jueves. “Este es otro ejemplo perfecto de inconsistencias en la cadena de suministro de firmware. Un componente de terceros muy desactualizado presente en la última versión del firmware, lo que genera un riesgo adicional para los usuarios finales. ¿Hay más sistemas que utilizan la versión vulnerable de lighttpd en toda la industria?
Derrotando a ASLR
La vulnerabilidad permite a los piratas informáticos identificar las direcciones de memoria responsables de manejar funciones clave. Los sistemas operativos se esfuerzan por aleatorizar y ocultar estas ubicaciones para que no puedan usarse en vulnerabilidades de software. Al encadenar un exploit para la vulnerabilidad lighttpd con una vulnerabilidad separada, los piratas informáticos podrían anular esta protección estándar, conocida como aleatorización del diseño del espacio de direcciones. El encadenamiento de dos o más exploits se ha convertido en una característica común de los ataques de piratería hoy en día, a medida que los fabricantes de software continúan agregando protecciones antiexplotación a su código.
Es difícil rastrear la cadena de suministro de múltiples BMC utilizados en múltiples servidores. Hasta ahora, Binarly ha identificado el BMC MegaRAC de AMI como uno de los BMC vulnerables. La firma de seguridad ha confirmado que el AMI BMC está contenido en el Sistema de servidor Intel M70KLP hardware. La información sobre BMC de ATEN o hardware de Lenovo y Supermicro no está disponible en este momento. La vulnerabilidad está presente en cualquier hardware que utilice las versiones 1.4.35, 1.4.45 y 1.4.51 de lighttpd.
Los intentos de contactar inmediatamente a los desarrolladores de lighttpd y a la mayoría de los fabricantes del hardware afectado no tuvieron éxito de inmediato. Un representante de AMI se negó a comentar sobre la vulnerabilidad, pero agregó las declaraciones estándar sobre que la seguridad es una prioridad importante. Un representante de Intel confirmó la exactitud del informe de Binarly.
La falla lighttpd es lo que se conoce como una vulnerabilidad de lectura fuera de límites causada por errores en la lógica de análisis de solicitudes HTTP. Los piratas informáticos pueden explotarlo mediante solicitudes HTTP diseñadas con fines malintencionados.
“Un atacante potencial puede aprovechar esta vulnerabilidad para leer la memoria del proceso del servidor web Lighttpd”, escribieron los investigadores de Binarly en un aviso. “Esto puede conducir a la filtración de datos confidenciales, como direcciones de memoria, que pueden usarse para eludir mecanismos de seguridad como ASLR”. Hay avisos disponibles aquí, aquíy aquí.
Este no es el primer error importante en la cadena de suministro que Binarly descubre. En diciembre, la empresa reveló LogoFail, un ataque que ejecuta firmware malicioso al principio de la secuencia de inicio como resultado de firmware obsoleto utilizado en prácticamente todas las interfaces de firmware extensibles unificadas, que son responsables de iniciar dispositivos modernos que ejecutan Windows o Linux.
Las personas u organizaciones que utilicen equipos Supermicro deben consultar con el fabricante para encontrar información sobre posibles soluciones. Sin soluciones disponibles de Intel o Lenovo, no hay mucho que los usuarios de este hardware afectado puedan hacer. Sin embargo, vale la pena mencionar explícitamente que la gravedad de la vulnerabilidad lighttpd es sólo moderada y no tiene valor a menos que un atacante tenga un exploit funcional para una vulnerabilidad mucho más grave. En general, los BMC deben habilitarse sólo cuando sea necesario y bloquearse con cuidado, ya que permiten un control extraordinario de flotas enteras de servidores con simples solicitudes HTTP enviadas a través de Internet.