Lỗ hổng bảo mật tồn tại trong phần cứng được bán bởi Intel và Lenovo đã tồn tại trong nhiều năm và có thể bị khai thác từ xa. Lỗ hổng bảo mật này sẽ có thể không bao giờ được sửa chữa. Nguyên nhân đến từ những trục trặc trong chuỗi cung ứng liên quan đến các gói phần mềm và phần cứng nguồn mở từ nhiều nhà sản xuất đã tích hợp trực tiếp hoặc gián tiếp vào những sản phẩm của họ.

Các nhà nghiên cứu từ công ty bảo mật Binarly đã xác nhận rằng những trục trặc trong chuỗi cung ứng này đã khiến phần cứng máy chủ của Intel, Lenovo và Supermicro chứa một lỗ hổng có thể bị khai thác để tiết lộ thông tin quan trọng về bảo mật. Các nhà nghiên cứu cũng cảnh báo rằng bất kỳ phần cứng nào kết hợp với một số thế hệ các hệ thống độc lập có đặc quyền trong các máy chủ (BMC) nhất định do Duluth, AMI có trụ sở tại Georgia hoặc AETN có trụ sở tại Đài Loan sản xuất cũng có thể bị ảnh hưởng bởi lỗ hổng bảo mật này.

BMC là những máy tính nhỏ được hàn vào bo mạch chủ của máy chủ cho phép các trung tâm dữ liệu đám mây và đôi khi là khách hàng của họ hợp lý hóa việc quản lý từ xa các cụm máy chủ khổng lồ. Chúng cho phép quản trị viên cài đặt lại hệ điều hành từ xa, cài đặt và gỡ cài đặt ứng dụng cũng như kiểm soát mọi khía cạnh khác của hệ thống - ngay cả khi hệ thống bị tắt.

Trong nhiều năm, BMC từ nhiều nhà sản xuất đã tích hợp các phiên bản dễ bị tấn công của phần mềm nguồn mở được gọi là lighttpd. Lighttpd là một máy chủ web nhanh, nhẹ, tương thích với nhiều nền tảng phần cứng và phần mềm khác nhau. Máy chủ web này được sử dụng trong tất cả các loại phần cứng, kể cả trong các phần cứng hàn vào bo mạch chủ như BMC, để cho phép quản trị viên từ xa điều khiển máy chủ bằng các lệnh HTTP.

Vào năm 2018, các nhà phát triển lighttpd đã phát hành một phiên bản mới khắc phục “các tình huống sử dụng miễn phí khác nhau”. Đây là một miêu tả mơ hồ về một loại lỗ hổng có thể khai thác từ xa để giả mạo các chức năng bộ nhớ nhạy cảm về bảo mật của phần mềm bị ảnh hưởng. Bất chấp mô tả, bản cập nhật không sử dụng từ “lỗ hổng” và không bao gồm số theo dõi lỗ hổng bảo mật CVE như thường lệ.

Các nhà nghiên cứu của Binarly cho biết các nhà sản xuất BMC bao gồm AMI và ATEN đã sử dụng các phiên bản lighttpd đã khắc phục được những sự cố về bảo mật và tiếp tục làm như vậy trong nhiều năm. Ngược lại, vẫn có các nhà sản xuất máy chủ tiếp tục đưa các BMC chưa khắc phục được những vấn đề bảo mật vào phần cứng của họ trong cùng khoảng thời gian nhiều năm. Binarly đã xác định được ba nhà sản xuất máy chủ đó là Intel, Lenovo và Supermicro. Phần cứng được Intel bán ra gần đây nhất là vào năm 2023 cũng đã bị ảnh hưởng. Binarly cho biết cả Intel và Lenovo đều không có kế hoạch tung ra bản sửa lỗi vì họ không còn hỗ trợ phần cứng bị ảnh hưởng. Trong khi đó, các sản phẩm bị ảnh hưởng từ Supermicro vẫn được hỗ trợ.

Các nhà nghiên cứu của Binarly đã chia sẻ vào ngày 11/4: “Trong suốt những năm qua, lỗ hổng lighttpd đã hiện diện bên trong phần cứng và không ai quan tâm đến việc cập nhật một trong các thành phần của bên thứ ba được sử dụng để tạo ra phần cứng này. Đây là một ví dụ hoàn hảo khác về sự không nhất quán trong chuỗi cung ứng phần mềm cơ sở. Một thành phần bên thứ ba rất lỗi thời có trong phiên bản chương trình cơ sở mới nhất, tạo thêm rủi ro cho người dùng cuối”.

Lỗ hổng này giúp tin tặc có thể xác định chính xác nơi mà bộ nhớ chịu trách nhiệm xử lý các chức năng chính. Các hệ điều hành phải nỗ lực ngẫu nhiên hóa và che giấu những vị trí này để chúng không thể được sử dụng để khai thác phần mềm. Bằng cách nối chuỗi khai thác lỗ hổng lighttpd với một lỗ hổng riêng biệt, tin tặc có thể đánh bại biện pháp bảo vệ tiêu chuẩn này, được gọi là ngẫu nhiên hóa bố cục không gian địa chỉ. Chuỗi hai hoặc nhiều lần khai thác đã trở thành một đặc điểm phổ biến của các cuộc tấn công ngày nay. Để đối phó với các cuộc tấn công này, các nhà sản xuất phần mềm tiếp tục bổ sung các biện pháp bảo vệ chống khai thác vào mã của họ.

Việc theo dõi chuỗi cung ứng cho nhiều BMC được sử dụng trong phần cứng máy chủ là điều khó khăn. Cho đến nay, Binarly đã xác định MegaRAC BMC của AMI là một trong những BMC dễ bị tấn công nhất. Công ty bảo mật đã xác nhận rằng BMC của AMI có trong phần cứng Hệ thống Máy chủ Intel M70KLP. Hiện tại không có thông tin về BMC từ ATEN hoặc phần cứng của Lenovo và Supermicro. Lỗ hổng này hiện diện trong mọi phần cứng sử dụng các phiên bản lighttpd 1.4.35, 1.4.45 và 1.4.51.

Đại diện AMI từ chối bình luận về lỗ hổng này nhưng xác nhận rằng các tuyên bố tiêu chuẩn về bảo mật là ưu tiên quan trọng. Đại diện Intel đã xác nhận tính chính xác của báo cáo từ các nhà nghiên cứu của Binarly. Lỗ hổng lighttpd được gọi là lỗ hổng vượt quá giới hạn do lỗi trong logic phân tích cú pháp yêu cầu HTTP gây ra. Tin tặc có thể khai thác nó bằng cách sử dụng các yêu cầu HTTP được thiết kế độc hại cho hệ thống.

Các nhà nghiên cứu của Binarly viết trong báo cáo của họ: “Kẻ tấn công tiềm năng có thể khai thác lỗ hổng này để đọc bộ nhớ của quy trình máy chủ web Lighttpd. Điều này có thể dẫn đến việc đánh cắp dữ liệu quan trọng, chẳng hạn như địa chỉ bộ nhớ, có thể được sử dụng để vượt qua các cơ chế bảo mật như ASLR”.

Những cá nhân hoặc tổ chức sử dụng thiết bị Supermicro nên làm việc với nhà sản xuất để tìm thông tin về các lỗ hổng bảo mật và các cách khắc phục có thể. Trái ngược với Supermicro, Intel và Lenovo không đưa ra bất kỳ bản vá lỗi nào để hỗ trợ người dùng của mình. Tuy nhiên, điều đáng nói rõ ràng là mức độ nghiêm trọng của lỗ hổng lighttpd chỉ ở mức vừa phải và không có giá trị trừ khi kẻ tấn công có cách khai thác hiệu quả đối với lỗ hổng nghiêm trọng hơn nhiều. BMC chỉ nên được kích hoạt khi cần thiết và được bảo vệ vô cùng cẩn thận vì chúng cho phép kiểm soát đặc biệt toàn bộ nhóm máy chủ với các yêu cầu HTTP đơn giản được gửi qua Internet.

Hoàng Kim