Certains produits Intel et Lenovo présentent un bug non corrigible dans leur micrologiciel qui pourrait permettre de pirater les appareils. Le bug en question a est resté sans correctif pendant des années et ne sera jamais corrigé car les produits concernés ont été considérés comme « en fin de vie » et ne recevront aucun correctif. mises à jour logicielles supplémentaires. Bien que la vulnérabilité soit suffisamment grave pour permettre à un mauvais acteur de l’enchaîner à un exploit plus sophistiqué, elle ne cela, à lui seul, représente une grande menace.
Cette semaine, la société de sécurité Binarly a publié un rapport sur les questions de sécurité, qui tournent autour Lumièretpd: un serveur Web flexible et open source qui est utilisé dans une myriade de produits technologiques, y compris des composants de micrologiciel. Il y a des années, à l’été 2018 , une vulnérabilité logicielle exploitable à distance a été découverte dans Lighttpd par ses responsables, qui aurait pu hypothétiquement permettre à un cybercriminel avisé d’accéder à une sécurité vitale. information.
Les responsables du logiciel Lighttpd ont discrètement publié un correctif dans leur propre code, ont déclaré les chercheurs de Binarly, mais ils ne l’ont pas formalisé via un CVE – un un identifiant commun de vulnérabilités et d’expositions, qui aurait permis aux entreprises utilisant le logiciel de résoudre le problème. Lighttpd est utilisé dans de nombreux produits, notamment ceux produits par American Megatrends International (AMI), une société qui produit une grande partie des micrologiciels sur lesquels les grandes entreprises s’appuient.
L’effet de retombée est que certains types de matériel, y compris divers produits fabriqués par Lenovo et Intel, n’ont jamais été réparés et, par conséquent, sont toujours vulnérables au bug. Désormais, les appareils concernés ne seront jamais réparés, affirment les chercheurs de Binarly, car leurs fournisseurs ne le sont pas. ils ne proposent plus de mises à jour logicielles.
Lorsqu’on l’a contacté pour un commentaire, Lenovo a déclaré qu’il était « conscient du problème AMI MegaRAC identifié par Binarly » et qu’il « travaillait avec notre fournisseur pour identifier tout impact potentiel sur les produits Lenovo. ce qui signifie qu’aucune mise à jour fonctionnelle, de sécurité ou autre ne sera fournie.
ArsTechnica note que « la gravité de la vulnérabilité lighttd est seulement modérée et n’a aucune valeur à moins qu’un attaquant dispose d’un exploit fonctionnel pour une beaucoup vulnérabilité plus grave. » Les chercheurs de Binarly ont déclaré qu’un « attaquant potentiel peut exploiter cette vulnérabilité afin de lire la mémoire du serveur Web Lighttpd. processus », qui pourrait conduire à une « exfiltration de données sensibles, telles que des adresses mémoire, et peut être utilisé pour contourner des mécanismes de sécurité tels que ASLR. » Par conséquent, le bug semblerait être davantage un point de départ pour une attaque plus sophistiquée, bien qu’il présente clairement une opportunité d’intrusion et, éventuellement de compromis.
