La falta de comunicación que ocurrió hace seis años resultó en que miles de dispositivos fueran vulnerables a una vulnerabilidad de lectura fuera de límites (OOB) explotable de forma remota: hoy. Entre los dispositivos vulnerables se encuentran Intel y lenovo servidores.
Esto es lo que sucedió: hace seis años, los mantenedores de Lighttpd descubrieron la falla mencionada anteriormente, que podría permitir a los actores de amenazas exfiltrar direcciones de memoria de procesos. Esto, a su vez, podría haberse utilizado para evitar los mecanismos de protección.
El equipo de seguridad corrigió la falla en agosto de 2018, en la versión 1.4.51, pero no asignaron un CVE. Lighttpd es un servidor web de código abierto optimizado para entornos de velocidad crítica.
Miles de dispositivos vulnerables
Como el CVE no fue asignado, los desarrolladores de los controladores de administración de placa base (BMC) AMI MegaRAC se perdieron la actualización y no la integraron en su producto. pitidocomputadora informes. Los BMC son microcontroladores que se encuentran en placas base diseñadas para servidores, centros de datos, entornos de nube y similares. Están diseñados para administración, reinicio, monitoreo y firmware remotos.
En consecuencia, la vulnerabilidad se transmitió a lo largo de la cadena de suministro a los proveedores de sistemas y sus clientes.
Seis años después, durante un escaneo de BMC, los investigadores de seguridad Binarly tropezaron con la vulnerabilidad. La compañía dice que varios productos, incluidos algunos de Intel, Lenovo y Supermicro, son todos vulnerables.
«Según nuestros datos, más de 2.000 dispositivos se ven afectados en el campo. En realidad, este número es aún mayor», dijeron los investigadores a BleepingComputer.
Dependiendo de los proveedores y los dispositivos, a la vulnerabilidad se le asignaron tres identificadores separados: BRLY-2024-002, BRLY-2024-003 y BRLY-2024-004.
Si bien Binarly afirma que algunos de los sistemas vulnerables se lanzaron a fines de febrero del año pasado, tanto Intel como Lenovo dijeron que los modelos afectados llegaron al final de su vida útil y, como tales, no se recomienda su uso de todos modos. Nunca recibirán más parches para solucionar el problema y seguirán siendo vulnerables hasta que sean reemplazados por sistemas más nuevos y compatibles.