导读 几年前出现的沟通不畅导致如今数千台设备容易受到可远程利用的堆越界(OOB)读取漏洞的攻击-而易受攻击的设备包括英特尔和联想服务器。六年前...
几年前出现的沟通不畅导致如今数千台设备容易受到可远程利用的堆越界(OOB)读取漏洞的攻击-而易受攻击的设备包括英特尔和联想服务器。
六年前,Lighttpd的维护人员发现了上述漏洞,该漏洞可能允许威胁者窃取进程内存地址。反过来,这又可能被用来绕过保护机制。
安全团队于2018年8月在1.4.51版本中修补了该漏洞,但并未分配CVE。Lighttpd是一款针对速度关键环境进行优化的开源Web服务器。
据BleepingComputer报道,由于未分配CVE,AMIMegaRAC基板管理控制器(BMC)的开发人员错过了更新,因此没有将其集成到他们的产品中。BMC是主板上的微控制器,用于服务器、数据中心、云环境等。它们专为远程管理、重启、监控和固件而设计。
因此,该漏洞通过供应链传递到了系统供应商及其客户。
六年后,在BMC扫描期间,安全研究人员Binarly偶然发现了该漏洞。该公司表示,包括英特尔、联想和超微在内的多款产品都存在此漏洞。
“根据我们的数据,现场有近2000多台设备受到影响。实际上,这个数字甚至更大,”研究人员告诉BleepingComputer。
根据供应商和设备的不同,该漏洞被赋予三个单独的标识符:BRLY-2024-002、BRLY-2024-003和BRLY-2024-004。
虽然Binarly声称部分存在漏洞的系统是去年2月底发布的,但英特尔和联想均表示受影响的型号已达到使用寿命上限,因此不建议继续使用。这些型号将永远不会收到进一步的补丁来解决问题,并且将一直存在漏洞,直到被更新的受支持系统取代。