Een probleem in de supply chain zorgde ervoor dat de kwetsbaarheid bijna zes jaar onopgemerkt bleef. Intel en Lenovo lijken niet van plan om een oplossing uit te brengen, aangezien de getroffen hardware niet meer wordt ondersteund.
Dat stellen securityonderzoekers van Binarly. Naast Intel en Lenovo noemt Binarly ook Supermicro als getroffen partij. Door de kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot gevoelige informatie. Het zwakke punt bevindt zich in de open source software lighttpd, die aanwezig is in de Baseboard Management Controllers (BMC’s).
Deze BMC’s zijn kleine computers op het moederbord van servers en worden gebruikt voor het beheren van servers op afstand. Beheerders kunnen hiermee bijvoorbeeld besturingssystemen opnieuw installeren en apps verwijderen. Veel BMC’s maken echter gebruik van lighttpd om beheerders op afstand toegang te geven tot servers met HTTP-verzoeken.
Zes jaar geleden brachten de makers van lighttpd een nieuwe versie uit. Deze versie loste kwetsbaarheden op die kunnen worden misbruikt om kwaadaardige activiteiten uit te voeren op geheugenfuncties. Er werd destijds echter niet expliciet gesproken over een ‘vulnerability’ en er waren ook geen CVE-kwetsbaarheidsnummers vermeld.
Impact
Binarly ziet dat serverleveranciers de BMC’s met de kwetsbare versie van lighttpd bleven produceren. “Al die jaren was het aanwezig in de firmware en niemand gaf er om om een van de componenten van derden bij te werken die werden gebruikt om dit firmware-image te bouwen”, aldus de securityonderzoekers.
Aan BleepingComputer laat Binarly weten dat data laten zien dat er minstens 2.000 servers getroffen zijn. In werkelijkheid wordt de impact nog veel groter geschat. Daaronder bevinden zich systemen van Intel, Lenovo en Supermicro. Hardware van Intel die vorig jaar nog verkocht werd, is getroffen. Intel en Lenovo zijn niet van plan om met een oplossing te komen, vanwege het niet langer ondersteunen van de getroffen hardware. De betreffende servers van Supermicro worden nog wel ondersteund.
Een kanttekening is dat de lighttpd-kwetsbaarheid als matig wordt geclassificeerd. Alleen bij een werkende exploit voor een veel ernstigere kwetsbaarheid zal een hacker er profijt van hebben.