В серверном оборудовании таких крупных производителей, как Intel, Lenovo и Supermicro, обнаружена критическая уязвимость. Исследователи из компании Binarly обнаружили, что проблема кроется в контроллерах управления базовой платой (BMC) — крошечных компьютерах, встроенных в материнские платы серверов для удаленного управления.
Проблема связана с недостатком программного обеспечения с открытым исходным кодом под названием lighttpd, встроенного в некоторые поколения BMC от AMI и AETN. В 2018 году разработчики Lighttpd выпустили новую версию, где и появилась эта проблема, которую никто не замечал. Устаревшая и уязвимая версия lighttpd позволяет злоумышленникам похищать конфиденциальные данные, включая адреса памяти, необходимые для обхода средств защиты.
Серьезность уязвимости обусловлена ее неисправимостью. Обновление прошивки BMC не поможет решить проблему lighttpd, поскольку это основной компонент. Исследователи предупреждают, что миллионы серверов могут быть подвержены риску, и призывают пользователей определить версию BMC и ПО lighttpd.
Хотя полный масштаб проблемы остается неясным, компания Binarly подтвердила наличие уязвимости в серверной системе Intel M70KLP, оснащенной BMC MegaRAC от AMI.