Lỗ hổng bảo mật phần cứng của Intel và Lenovo không bị phát hiện trong 5 năm qua

Nhiều lỗ hổng bảo mật tồn tại trong chuỗi cung ứng của hai công ty Intel và Lenovo đã không được phát hiện và giải quyết trong nhiều năm.

Lỗ hổng bảo mật trong phần cứng của Intel và Lenovo đã tồn tại trong nhiều năm và có thể bị khai thác từ xa. Lỗ hổng này có khả năng không bao giờ được khắc phục do các vấn đề trong chuỗi cung ứng liên quan đến phần mềm và phần cứng nguồn mở từ nhiều nhà sản xuất, đã được tích hợp vào sản phẩm của họ.

Công ty bảo mật Binarly đã xác nhận rằng các vấn đề trong chuỗi cung ứng đã khiến phần cứng máy chủ của Intel, Lenovo và Supermicro chứa lỗ hổng có thể bị khai thác để tiết lộ thông tin bảo mật quan trọng. Các nhà nghiên cứu cảnh báo rằng bất kỳ phần cứng nào tích hợp với một số thế hệ hệ thống độc lập có đặc quyền trong các máy chủ (BMC) của các công ty Duluth, AMI có trụ sở tại Georgia hoặc AETN có trụ sở tại Đài Loan cũng có thể chịu ảnh hưởng của lỗ hổng này.

BMC là những máy tính nhỏ được hàn vào bo mạch chủ của máy chủ, cho phép các trung tâm dữ liệu đám mây và khách hàng quản lý từ xa các cụm máy chủ khổng lồ. Chúng cho phép quản trị viên cài đặt lại hệ điều hành từ xa, cài đặt và gỡ bỏ ứng dụng cũng như kiểm soát mọi khía cạnh khác của hệ thống, ngay cả khi hệ thống bị tắt.

Nhiều năm qua, các BMC từ nhiều nhà sản xuất đã tích hợp các phiên bản dễ bị tấn công của phần mềm nguồn mở lighttpd, một máy chủ web nhanh và nhẹ. Máy chủ này được sử dụng trong các loại phần cứng khác nhau, bao gồm cả phần cứng hàn vào bo mạch chủ như BMC, cho phép quản trị viên từ xa điều khiển máy chủ bằng các lệnh HTTP.

Vào năm 2018, các nhà phát triển lighttpd đã phát hành một bản cập nhật mới nhằm khắc phục các vấn đề liên quan đến việc “sử dụng lại” trong phần mềm, nhưng mô tả của bản cập nhật không cụ thể về lỗ hổng. Bản cập nhật này không sử dụng từ “lỗ hổng” hoặc số theo dõi CVE thông thường để ghi nhận vấn đề bảo mật.

Theo nghiên cứu từ công ty bảo mật Binarly, các nhà sản xuất BMC như AMI và ATEN đã sử dụng các phiên bản lighttpd đã được cập nhật để khắc phục những vấn đề về bảo mật. Trong khi đó, các nhà sản xuất máy chủ như Intel, Lenovo và Supermicro lại tiếp tục sử dụng BMC chứa lỗ hổng bảo mật trong phần cứng của họ qua nhiều năm. Intel và Lenovo không có kế hoạch phát hành bản vá cho các phần cứng bị ảnh hưởng vì họ đã ngừng hỗ trợ chúng, trong khi Supermicro vẫn hỗ trợ phần cứng bị ảnh hưởng.

Binarly cho biết rằng trong nhiều năm qua, lỗ hổng lighttpd đã tồn tại trong phần cứng mà không được chú ý và cập nhật kịp thời, dẫn đến nguy cơ cho người dùng cuối. Lỗ hổng cho phép tin tặc xác định vị trí của bộ nhớ chịu trách nhiệm xử lý các chức năng quan trọng và có thể sử dụng điều này để khai thác các lỗ hổng khác.

Binarly đã xác định được MegaRAC BMC của AMI là một trong những BMC dễ bị tấn công nhất, và nó được tìm thấy trong hệ thống máy chủ Intel M70KLP. Tuy nhiên, hiện vẫn chưa rõ BMC từ ATEN hoặc phần cứng của Lenovo và Supermicro có bị ảnh hưởng hay không. Lỗ hổng này tồn tại trong mọi phần cứng sử dụng các phiên bản lighttpd 1.4.35, 1.4.45 và 1.4.51.

Đại diện AMI không đưa ra bình luận về lỗ hổng này nhưng khẳng định rằng đảm bảo bảo mật là một ưu tiên quan trọng. Intel đã xác nhận tính chính xác của báo cáo từ các nhà nghiên cứu của Binarly. Lỗ hổng lighttpd được mô tả là lỗ hổng liên quan đến việc vượt quá giới hạn do lỗi trong logic phân tích cú pháp yêu cầu HTTP. Kẻ tấn công có thể khai thác lỗ hổng bằng cách sử dụng các yêu cầu HTTP độc hại nhằm tấn công hệ thống.

Binarly cảnh báo trong báo cáo rằng kẻ tấn công có thể sử dụng lỗ hổng này để đọc bộ nhớ của quy trình máy chủ web Lighttpd, dẫn đến việc đánh cắp dữ liệu quan trọng như địa chỉ bộ nhớ. Những thông tin này có thể được sử dụng để vượt qua các cơ chế bảo mật như ASLR.

Người dùng của Supermicro nên liên hệ với nhà sản xuất để biết thêm thông tin về lỗ hổng bảo mật và cách khắc phục. Khác với Supermicro, Intel và Lenovo không cung cấp bất kỳ bản vá lỗi nào để hỗ trợ người dùng. Tuy nhiên, mức độ nghiêm trọng của lỗ hổng lighttpd chỉ ở mức trung bình và không có giá trị trừ khi kẻ tấn công có thể khai thác hiệu quả các lỗ hổng nghiêm trọng hơn. BMC chỉ nên được kích hoạt khi cần thiết và cần được bảo vệ kỹ lưỡng vì chúng cho phép kiểm soát đặc biệt toàn bộ nhóm máy chủ thông qua các yêu cầu HTTP đơn giản trên Internet.

Cảm ơn bạn đã đọc bài tổng hợp của ISAO

Nguồn: sohuutritue.net.vn