Algunos productos Intel y Lenovo tienen un error que no se puede reparar en su firmware que podría permitir que los dispositivos sean pirateados. El error en cuestión tiene estuvo sin parchear durante años y nunca será parcheado porque los productos afectados han sido considerados “al final de su vida útil” y no recibirán ningún actualizaciones de software adicionales. Si bien la vulnerabilidad es lo suficientemente grave como para permitir que un mal actor la encadene a un exploit más sofisticado, no Esto, por sí solo, representa una gran amenaza.
Esta semana, la firma de seguridad Binarly publicó un informe sobre las cuestiones de seguridad, que giran en torno Lighttpd—un servidor web flexible y de código abierto que se utiliza en innumerables productos tecnológicos, incluidos componentes de firmware. Hace años, en el verano de 2018 , sus mantenedores descubrieron una vulnerabilidad de software remotamente explotable dentro de Lighttpd que hipotéticamente podría haber permitido a un ciberdelincuente inteligente acceder a seguridad vital información.
Los mantenedores del software de Lighttpd silenciosamente emitieron una solución en su propio código, dijeron los investigadores de Binarly, pero no la formalizaron a través de un CVE, un identificador de vulnerabilidades y exposiciones comunes, que habría permitido a las empresas que utilizan el software solucionar el problema. Lighttpd se utiliza en muchos productos, incluidos aquellos producidos por American Megatrends International (AMI), una empresa que produce gran parte del software firmware del que confian las principales empresas.
El efecto de goteo es que ciertos tipos de hardware, incluidos varios productos producidos por Lenovo e Intel, nunca obtuvieron la solución y, por lo tanto, todavía son vulnerables al error. Ahora, esos dispositivos afectados nunca serán reparados, afirman los investigadores de Binarly, porque sus proveedores no publicando actualizaciones de software para ellos.
Cuando se le pidió hacer comentarios, Lenovo dijo que está “consciente de la preocupación AMI MegaRAC identificada por Binarly” y que está “trabajando con Nuestro proveedor para identificar cualquier posible impacto en los productos Lenovo”. Mientras tanto, Intel dijo que el “dispositivo afectado se encuentra actualmente al final de su vida útil”. lo que significa que no se proporcionarán actualizaciones funcionales, de seguridad ni de otro tipo”.
Ars Técnica notas que “la gravedad de la vulnerabilidad lighttpd es sólo moderada y no tiene valor a menos que un atacante tenga una explotación funcional por mucho vulnerabilidad más grave”. Los investigadores de Binarly han dicho que un “atacante potencial puede explotar esta vulnerabilidad para leer la memoria del servidor web Lighttpd. proceso”, que podría conducir a la “exfiltración de datos confidenciales, como direcciones de memoria” y “puede usarse para eludir mecanismos de seguridad como ASLR”. Por lo tanto, el error parecería más bien un punto de partida para un ataque más sofisticado, aunque presenta claramente una oportunidad para la intrusión y, eventualmente, compromiso.
Este contenido ha sido traducido automáticamente del material original. Debido a los matices de la traducción automática, pueden existir ligeras diferencias. Para la versión original, haga clic aquí.