تحتوي بعض منتجات Intel وLenovo على خطأ غير قابل للإصلاح في البرامج الثابتة الخاصة بها مما قد يسمح باختراق الأجهزة. ظل الخطأ المعني دون تصحيح لسنوات ولن يتم تصحيحه أبدًا لأن المنتجات المتأثرة تم اعتبارها “منتهية الصلاحية” ولن تتلقى أي تحديثات إضافية للبرامج. على الرغم من أن الثغرة الأمنية خطيرة بما يكفي للسماح لممثل سيء بربطها ببرنامج استغلال أكثر تعقيدًا، إلا أنها لا تشكل في حد ذاتها تهديدًا كبيرًا.
هذا الأسبوع، نشرت شركة الأمن Binarly تقرير حول القضايا الأمنية التي تدور حولها Lighttpd– خادم ويب مرن ومفتوح المصدر يُستخدم في عدد لا يحصى من المنتجات التقنية، بما في ذلك مكونات البرامج الثابتة. منذ سنوات مضت، في صيف عام 2018، تم اكتشاف ثغرة أمنية برمجية قابلة للاستغلال عن بعد داخل Lighttpd من قبل المشرفين عليها والتي كان من الممكن أن تسمح افتراضيًا لمجرم إلكتروني ماهر بالوصول إلى معلومات أمنية حيوية.
قال باحثو Binarly إن مشرفي برنامج Lighttpd أصدروا بهدوء إصلاحًا في التعليمات البرمجية الخاصة بهم، لكنهم لم يضفي الطابع الرسمي عليه عبر CVE – وهو معرف شائع لنقاط الضعف والتعرضات – والذي كان من شأنه أن يسمح للشركات باستخدام البرنامج لإصلاح المشكلة. يتم استخدام Lighttpd في العديد من المنتجات، بما في ذلك تلك التي تنتجها شركة Megatrends International (AMI) الأمريكية، وهي شركة تنتج الكثير من البرامج الثابتة التي تعتمد عليها الشركات الكبرى.
ويتمثل التأثير المنتشر في أن أنواعًا معينة من الأجهزة، بما في ذلك المنتجات المختلفة التي تنتجها شركتا Lenovo وIntel، لم تحصل على الإصلاح مطلقًا، وبالتالي لا تزال عرضة للخلل. الآن، لن يتم إصلاح هذه الأجهزة المتأثرة أبدًا، كما يدعي باحثو Binarly، لأن مورديها لم يعودوا يرسلون تحديثات البرامج لهم بعد الآن.
عندما تم الاتصال بها للتعليق، قالت لينوفو إنها “على علم بمخاوف AMI MegaRAC التي حددتها Binarly” وأنها “تعمل مع موردنا لتحديد أي تأثيرات محتملة على منتجات لينوفو”. وفي الوقت نفسه، قالت إنتل إن “الجهاز المتأثر انتهى حاليًا، مما يعني أنه لن يتم توفير تحديثات وظيفية أو أمنية أو أي تحديثات أخرى”.
آرس تكنيكا الملاحظات التي “إن خطورة ثغرة lighttpd معتدلة فقط ولا قيمة لها إلا إذا كان لدى المهاجم استغلال فعال لثغرة أمنية أكثر خطورة.” قال باحثو Binarly أن “المهاجم المحتمل يمكنه استغلال هذه الثغرة الأمنية من أجل قراءة ذاكرة عملية Lighttpd Web Server،” مما قد يؤدي إلى “استخراج البيانات الحساسة، مثل عناوين الذاكرة” و”يمكن استخدامها لتجاوز آليات الأمان مثل ASLR.” ولذلك، قد يبدو هذا الخطأ بمثابة نقطة انطلاق لهجوم أكثر تعقيدًا، على الرغم من أنه يمثل بوضوح فرصة للتطفل، وفي نهاية المطاف، التوصل إلى تسوية.