Eine seit sechs Jahren unentdeckte Sicherheitslücke in der Lighttpd-Software stellt ein erhebliches Risiko für Server von Intel und Lenovo dar.
Eine aktuelle Untersuchung der Cybersicherheitsfirma Binarly hat enthüllt, dass eine alte, aber kritische Schwachstelle in Lighttpd, einer leichten Webserver-Software, immer noch Intel- und Lenovo-Server beeinträchtigt. Diese Sicherheitslücke, bekannt unter der Kennzeichnung BRLY-2024-002, wurde bereits 2018 stillschweigend behoben, jedoch ohne eine CVE-Zuweisung zu erhalten, was die Nachverfolgung und Absicherung erschwert.
Komplexe Lieferketten und versteckte Risiken:
Die Schwachstelle, eine Heap Out-of-Bounds-Leseanfälligkeit, wurde in einem mittlerweile eingestellten Intel Server System Produkt sowie in Lenovo BMC-Firmware für die Servermodelle HX3710, HX3710-F und HX2710-E identifiziert. Da diese Produkte das Ende ihrer Lebensdauer erreicht haben, sind weitere Sicherheitsupdates von den Herstellern nicht zu erwarten, was die Risiken langfristig erhöht.
Das Problem mit stillen Korrekturen:
Die Tatsache, dass die Behebung der Schwachstelle 2018 ohne öffentliche Bekanntmachung oder CVE-Nummer erfolgte, illustriert eine größere Herausforderung in der Firmware- und Software-Lieferkette: Ohne klare Sicherheitshinweise und Kennzeichnungen ist ein effektives Patch-Management nahezu unmöglich. Dies führt zu Lücken im Vulnerability-Management, die besonders kritisch sind, wenn es um Komponenten von Drittanbietern in der Firmware geht.
Notwendigkeit besserer Offenlegungspraktiken:
Diese Entdeckung unterstreicht die Notwendigkeit einer verbesserten Offenlegung und Koordination innerhalb des komplexen Ökosystems der Lieferkette. Binarly hat für die betroffenen Intel- und Lenovo-BMC-Firmwares die Identifikatoren BRLY-2024-002 und BRLY-2024-003 vergeben. Zusätzlich wurde BRLY-2024-004 für die anfällige Lighttpd-Build zugewiesen.
Aufruf zur Handlung:
Die Situation zeigt deutlich, dass das Management von Softwarelebenszyklen und die Sicherheitsstrategie innerhalb der Lieferketten dringend überdacht und verbessert werden müssen. Unternehmen sind aufgerufen, proaktive Maßnahmen zu ergreifen und die Koordination der Vulnerability-Disclosure über ihre gesamte Lieferkette zu verstärken, um sich und ihre Kunden vor langfristigen Sicherheitsrisiken zu schützen.
Die Entdeckung der Lighttpd-Schwachstelle bietet eine wichtige Lektion über die Risiken veralteter und nicht gepatchter Software in kritischen Infrastrukturen. Für Unternehmen in allen Branchen ist es entscheidend, ihre Firmware- und Software-Lieferketten genau zu überwachen und auf eine transparente und effektive Kommunikation und Patch-Management-Prozesse zu bestehen. Nur so können sie die Sicherheit ihrer Systeme und die ihrer Nutzer gewährleisten.