Einige Intel- und Lenovo-Produkte weisen einen nicht behebbaren Fehler in der Firmware auf, der es ermöglichen könnte, die Geräte zu hacken. Der betreffende Fehler ist seit Jahren ungepatcht und wird auch nie gepatcht, da die betroffenen Produkte als „End-of-Life“ eingestuft wurden und keine weiteren Software-Updates mehr erhalten. Obwohl die Sicherheitslücke so schwerwiegend ist, dass ein böswilliger Akteur sie mit einem ausgefeilteren Exploit verknüpfen kann, stellt sie für sich genommen keine große Bedrohung dar.
Diese Woche veröffentlichte das Sicherheitsunternehmen Binarly ein Bericht über die Sicherheitsprobleme, die sich um drehen Lichttpd– ein flexibler Open-Source-Webserver, der in unzähligen technischen Produkten, einschließlich Firmware-Komponenten, verwendet wird. Vor Jahren, im Sommer 2018, entdeckten die Entwickler von Lighttpd eine aus der Ferne ausnutzbare Software-Schwachstelle, die es einem versierten Cyberkriminellen theoretisch ermöglicht hätte, auf wichtige Sicherheitsinformationen zuzugreifen.
Die Software-Betreuer von Lighttpd haben laut Binarly-Forschern still und leise einen Fix in ihrem eigenen Code herausgegeben, sie haben ihn jedoch nicht über einen CVE formalisiert – einen Common Vulnerabilities and Exposures Identifier –, der es den Unternehmen, die die Software verwenden, ermöglicht hätte, das Problem zu beheben. Lighttpd wird in vielen Produkten verwendet, darunter auch in denen von American Megatrends International (AMI), einem Unternehmen, das einen Großteil der Firmware-Software produziert, auf die große Unternehmen angewiesen sind.
Der Trickle-Down-Effekt besteht darin, dass bestimmte Arten von Hardware – darunter verschiedene Produkte von Lenovo und Intel – nie repariert wurden und daher weiterhin anfällig für den Fehler sind. Nun, so die Forscher von Binarly, werden diese betroffenen Geräte nie repariert, weil ihre Anbieter keine Software-Updates mehr für sie herausgeben.
Auf Anfrage um einen Kommentar sagte Lenovo , dass das von Binarly gemeldete AMI MegaRAC-Problem bekannt ist und mit unserem Lieferanten zusammenarbeitet, um alle potenziellen Auswirkungen auf Lenovo-Produkte zu ermitteln.“ Intel gab unterdessen an, dass das „betroffene Gerät derzeit das Ende s seiner Lebensdauer erreicht hat, was bedeutet, dass es keine funktionalen , Sicherheits- oder anderen Updates bereitgestellt werden.“
Ars Technica stellt fest, dass „Die Schwere der lighttpd-Sicherheitslücke ist nur mittelschwer und wertlos, es sei denn, ein Angreifer verfügt über einen funktionierenden Exploit für eine viel schwerwiegendere Sicherheitslücke.“ Binarly-Forscher haben erklärt, dass ein „potenzieller Angreifer diese Sicherheitslücke ausnutzen kann, um den Speicher des Lighttpd-Webserverprozesses zu lesen“, was Dies könne zu einem „Abgreifen vertraulicher Daten wie etwa Speicheradressen“ führen und „dazu genutzt werden, Sicherheitsmechanismen wie ASLR zu umgehen“. Daher scheint der Fehler eher ein Ausgangspunkt für einen ausgefeilteren Angriff zu sein, obwohl er eindeutig eine Gelegenheit für ein Eindringen und letztendlich eine Kompromittierung bietet.
