Bazı Intel ve Lenovo ürünlerinin ürün yazılımlarında, cihazların saldırıya uğramasına olanak verebilecek düzeltilemez bir hata bulunur. Söz konusu hata yıllardır yama yapılmadan duruyor ve etkilenen ürünler “kullanım ömrünün sonu” olarak kabul edildiğinden ve herhangi bir ek yazılım güncellemesi almayacağından hiçbir zaman yama yapılmayacaktır. Güvenlik açığı, kötü bir aktörün onu daha karmaşık bir istismara zincirlemesine izin verecek kadar ciddi olsa da, tek başına pek bir tehdit oluşturmaz.
Bu hafta güvenlik firması Binarly şunları yayınladı: rapor etrafında dönen güvenlik sorunları hakkında Lighttpd— Firmware bileşenleri de dahil olmak üzere sayısız teknoloji ürününde kullanılan esnek, açık kaynaklı bir web sunucusu. Yıllar önce, 2018 yazında, Lighttpd’nin bakımcıları tarafından, varsayımsal olarak bilgili bir siber suçlunun hayati güvenlik bilgilerine erişmesine izin verebilecek, uzaktan yararlanılabilen bir yazılım güvenlik açığı keşfedildi.
Binarly araştırmacıları, Lighttpd’nin yazılım koruyucularının sessizce kendi kodlarında bir düzeltme yayınladıklarını, ancak bunu, yazılımı kullanan şirketlerin sorunu çözmesine olanak tanıyan bir CVE (ortak bir güvenlik açıkları ve maruz kalma tanımlayıcısı) aracılığıyla resmileştirmediklerini söyledi. Lighttpd, büyük şirketlerin güvendiği donanım yazılımlarının çoğunu üreten American Megatrends International (AMI) tarafından üretilenler de dahil olmak üzere birçok üründe kullanılmaktadır.
Damlama etkisi, Lenovo ve Intel tarafından üretilen çeşitli ürünler de dahil olmak üzere belirli donanım türlerinin hiçbir zaman düzeltmeyi alamamasıdır ve bu nedenle hala hataya karşı savunmasızdır. Binarly araştırmacıları, etkilenen cihazların artık hiçbir zaman düzeltilemeyeceğini çünkü satıcıların artık onlar için yazılım güncellemesi yayınlamadığını iddia ediyor.
Yorum almak için kendisine ulaşıldığında Lenovo, “Binarly tarafından belirlenen AMI MegaRAC endişesinin farkında olduğunu” ve “Lenovo ürünlerine yönelik olası etkileri belirlemek için tedarikçimizle birlikte çalıştığını” söyledi. Bu arada Intel, “etkilenen cihazın şu anda kullanım ömrünün sona erdiğini, yani hiçbir işlevsellik, güvenlik veya diğer güncellemelerin sağlanmayacağı anlamına geldiğini” söyledi.
Ars Teknik şunu not eder “lighttpd güvenlik açığının ciddiyeti yalnızca orta düzeydedir ve saldırganın çok daha ciddi bir güvenlik açığı için çalışan bir açıktan yararlanması olmadığı sürece hiçbir değeri yoktur.” Binarly araştırmacıları, “potansiyel bir saldırganın Lighttpd Web Sunucusu işleminin hafızasını okumak için bu güvenlik açığından yararlanabileceğini”, bunun da “bellek adresleri gibi hassas verilerin sızmasına” yol açabileceğini ve “gibi güvenlik mekanizmalarını atlamak için kullanılabileceğini” söyledi. ASLR.” Bu nedenle, açık bir şekilde izinsiz giriş ve sonuçta uzlaşma fırsatı sunmasına rağmen, hata daha karmaşık bir saldırı için bir başlangıç noktası gibi görünebilir.