IT 之家 4 月 16 日消息,軟件 / 固件供應鏈安全團隊 Binarly 近期發現,仍有部分英特爾、聯想服務器受到 2018 年的 Lighttpd 相關漏洞影響。
Lighttpd 是一款輕量級的高效率開源 Web 服務器,對系統資源消耗較小,被應用于服務器主闆上的基闆管理控制器 (BMC)中。
IT 之家注:作爲 MCU 微控制器的一種,BMC 可爲主闆實現包括遠程管理、重啓、固件更新、監控在内的重要功能。
Lighttpd 于 2018 年出現了一個可以遠程利用的漏洞,開發方發現問題後進行了修複。
不過 Lighttpd 的開發者并未向這一漏洞分配包括 CVE 編号在内的追蹤 ID。這一靜默修複行爲導緻該漏洞及其修複受到的關注較低。
下遊 AMI MegaRAC 系列 BMC 的固件開發人員在 2019~2023 年的漫長時間内沒有注意到這一問題,一直沒有跟進修複。
采用 AMI MegaRAC BMC 的部分英特爾、聯想服務器從供應鏈中受到了影響。
Binarly 團隊稱,至今仍有至少 2000 台服務器因此存在 Lighttpd 相關漏洞。
聯想方面就此向外媒 BleepingComputer 表示,其已知悉 Binarly 發現的 AMI MegaRAC 問題,正同供應商合作對影響進行評估;
英特爾方面則稱,受影響的服務器已達到 EOL 停産狀态,不再受到安全更新,這意味着該部分服務器在退役之前容易受到相關攻擊。
