Un’interruzione di sei anni in un popolare server web open-source, che non riceverà più aggiornamenti, significa che molti prodotti Lenovo e Intel saranno per sempre vulnerabili.
Una vulnerabilità rilevata in un noto server web open-source, silenziosamente risolta sei anni fa, ha reso alcuni server obsoleti delle principali marche permanentemente esposti a detta minaccia. Questo è quanto segnalato dalla società di sicurezza informatica Binarly.
La vulnerabilità incide sul Lighttpd, un diffuso prodotto di server web open-source noto per la sua duttilità e basso consumo di risorse. È frequentemente usato nei software aziendali, nei data centre e dai provider del cloud. Una serie di eventi che dimostrano la complessità della protezione del software open-source e l’ingarbugliata catena di fornitura dei prodotti aziendali significheranno che per il prevedibile futuro alcuni prodotti molto usati da Lenovo e Intel continueranno a contenere una versione non tutelata del Lighttpd.
I programmatori del Lighttpd hanno corretto il bug nel 2018, ma non hanno annunciato né assegnato un CVE (Common Vulnerabilities and Exposures) che avrebbe permesso agli utenti di sapere dell’aggiornamento di sicurezza, come riportato da Binarly in un recente rapporto. La società tecnologica americana American Megatrends International si è avvalsa del Lighttpd in un firmware noto come AMI MegaRAC, ma non ha mai aggiornato la sua istanza di Lighttpd per risolvere la vulnerabilità. Questo ha permesso a una versione dell’AMI MegaRAC, contenente la versione vulnerabile del Lighttpd, di essere inclusa in una serie di prodotti ampiamente utilizzati da Intel e Lenovo.
Peggio ancora, molti dei prodotti interessati hanno raggiunto la fine del loro ciclo di vita proprio quest’anno, il che significa che nessuno dei fornitori aggiornerà i loro prodotti con la correzione di sicurezza.
Alex Matrosov, co-fondatore e CEO di Binarly, denomina queste vulnerabilità “forever bugs” (bug eterni) a causa del loro duraturo impatto rilevando che essi rappresentano dei problematiche “massive” per i progetti open-source. Matrosov ha anche affermato che la sua società ha individuato più di 2.000 dispositivi contenenti la vulnerabilità del Lighttpd, ma ritiene che l’effetto reale sia molto più ampio. Insieme ad altri bug, la vulnerabilità potrebbe condurre a attacchi di sovraccarico del buffer.
Un rappresentante di Lenovo ha affermato che l’azienda è “a conoscenza del problema relativo all’AMI MegaRAC rilevato da Binarly” e sta lavorando per identificare gli “impatti sui prodotti Lenovo”. Un portavoce di Intel ha dichiarato che “il dispositivo interessato è attualmente alla fine del suo ciclo di vita, il che significa che non verranno forniti alcun aggiornamento funzionale, di sicurezza o di altro tipo”.
Né AMI né i programmatori del Lighttpd hanno risposto immediatamente alle richieste di commento.
I programmatori del Lighttpd sembrano aver menzionato l’aggiornamento sulla sicurezza solo in un commit su GitHub. Ma sebbene gli sviluppatori open-source non abbiano creato un CVE, AMI non sembra aver aggiornato la propria istanza del Lighttpd almeno dal 2018, quando il codice è stato aggiornato con la correzione di sicurezza.
Il rapporto di Binarly evidenzia un problema che è diventato una preoccupazione crescente per l’amministrazione Biden, specialmente dopo la scoperta del bug Log4Shell. L’amministrazione sta esaminando come lavorare con la comunità degli sviluppatori per garantire una maggiore sicurezza del software open-source dai primi istanti. I principali fornitori utilizzano da tempo il software open-source e, anche se alcuni contribuiscono allo sviluppo o forniscono risorse, ci sono ancora molti sviluppatori che lavorano con poco aiuto per mantenere software ampiamente distribuito.
Recentemente, un ricercatore ha scoperto un backdoor astutamente progettato inserito in un popolare pezzo di software open-source pensato per fornire potenti capacità di spionaggio. Gli esperti hanno descritto quell’incidente come una catastrofe evitata per poco.