Ορισμένα προϊόντα Intel και Lenovo έχουν ένα μη επιδιορθώσιμο σφάλμα στο υλικολογισμικό τους που θα μπορούσε να επιτρέψει την παραβίαση των συσκευών. Το εν λόγω σφάλμα δεν έχει επιδιορθωθεί εδώ και χρόνια και δεν πρόκειται ποτέ να επιδιορθωθεί, επειδή τα επηρεαζόμενα προϊόντα έχουν θεωρηθεί "end-of-life" και δεν θα λάβουν καμία πρόσθετη ενημέρωση λογισμικού. Παρόλο που η ευπάθεια είναι αρκετά σοβαρή για να επιτρέψει σε έναν κακόβουλο δράστη να την συνδέσει με ένα πιο εξελιγμένο exploit, από μόνη της δεν αποτελεί μεγάλη απειλή.
Αυτή την εβδομάδα, η εταιρεία ασφαλείας Binarly δημοσίευσε μια έκθεση σχετικά με τα ζητήματα ασφαλείας, τα οποία περιστρέφονται γύρω από το Lighttpd - ένανευέλικτοδιακομιστή ιστού ανοικτού κώδικα που χρησιμοποιείται σε πολυάριθμα τεχνολογικά προϊόντα, συμπεριλαμβανομένων στοιχείων υλικολογισμικού. Πριν από χρόνια, το καλοκαίρι του 2018, ανακαλύφθηκε από τους συντηρητές του μια ευπάθεια λογισμικού με δυνατότητα απομακρυσμένης εκμετάλλευσης μέσα στον Lighttpd, η οποία θα μπορούσε υποθετικά να επιτρέψει σε έναν επιδέξιο εγκληματία του κυβερνοχώρου να αποκτήσει πρόσβαση σε ζωτικής σημασίας πληροφορίες ασφαλείας.
Οι συντηρητές του λογισμικού Lighttpd εξέδωσαν αθόρυβα μια διόρθωση στον δικό τους κώδικα, δήλωσαν οι ερευνητές της Binarly, αλλά δεν την επισημοποίησαν μέσω ενός CVE - ενός κοινού αναγνωριστικού ευπάθειας και έκθεσης - το οποίο θα επέτρεπε στις εταιρείες που χρησιμοποιούν το λογισμικό να διορθώσουν το πρόβλημα. Το Lighttpd χρησιμοποιείται σε πολλά προϊόντα, συμπεριλαμβανομένων εκείνων που παράγονται από την American Megatrends International (AMI), μια εταιρεία που παράγει μεγάλο μέρος του λογισμικού firmware στο οποίο βασίζονται μεγάλες εταιρείες.
Το αποτέλεσμα είναι ότι ορισμένα είδη υλικού -συμπεριλαμβανομένων διαφόρων προϊόντων που παράγονται από τη Lenovo και την Intel- δεν έλαβαν ποτέ τη διόρθωση και, ως εκ τούτου, εξακολουθούν να είναι ευάλωτα στο bug.
Τώρα, αυτές οι επηρεαζόμενες συσκευές δεν θα διορθωθούν ποτέ, υποστηρίζουν οι ερευνητές της Binarly, επειδή οι προμηθευτές τους δεν προωθούν πλέον ενημερώσεις λογισμικού για αυτές.
Όταν ζητήθηκε σχόλιο, η Lenovo δήλωσε ότι "γνωρίζει την ανησυχία για το AMI MegaRAC που εντοπίστηκε από την Binarly" και ότι "συνεργάζεται με τον προμηθευτή μας για να εντοπίσει τυχόν επιπτώσεις στα προϊόντα Lenovo". Η Intel, εν τω μεταξύ, δήλωσε ότι "η επηρεαζόμενη συσκευή είναι επί του παρόντος στο τέλος της ζωής της, πράγμα που σημαίνει ότι δεν θα παρέχονται λειτουργικές, ασφαλείας ή άλλες ενημερώσεις".
Πηγή : Gizmodo
Εμφάνιση 1-14 από 14
-
12-04-24, 19:05 Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.794
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
12-04-24, 19:55 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #2
EOL σημαίνει κάτι πολύ συγκεκριμένο, και οι χρήστες EOL hardware/software πρέπει να το συνειδητοποιούν αυτό.
-
12-04-24, 20:26 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #3
Θα έχει πρόβλημα και η αγορά Refurbished υπολογιστών;
-
12-04-24, 20:30 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #4
Refurbished συνήθως δεν είναι παλιά μηχανήματα.
-
13-04-24, 07:24 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #5
Ε εχει και τετοια. Οταν πουλανε intel 4 ης γεννιας και ιμαστε στη 14η τι ειναι?
Κανονικα θα επρεπε να υπαρχει απαγορευση πωλησηςσε οτιδηποτε eol, αλλα αυτο δημιουργει διαφορα πρακτικα προβληματα.
Το επιχειρημα θα ηταν οτι δεν θα το συνδεω στο Internet και παντα υπαρχει καποιος σπηλαιοκρατωρ που θελει απλα να γραφει κειμενα (στο wordperfect να υποθεσουμε).
Ας το κανουμε με τα κινητα, να πεσει κλαμα και γελιο. Οτιδηποτε out of support να μην επιτρεπεται η προσβαση στο internet. Οποτε μονο τηλεφωνο, και sms. Αυστηρα.
Οτι πρεπει για πρωταπριλιατικο βεβαια, αλλα απο πλευρας ασφαλειας, θα επρεπε.
-
13-04-24, 07:45 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #6
50000 τρύπες να έχει το bios, τι νόημα έχει εφόσον είμαστε πίσω από Nat? Ή εγώ δεν έχω καταλάβει κάτι?
-
13-04-24, 09:20 Re: Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL το #7
Στο Ipv6 να το δώ. Εκεί κάθε host βγαίνει στο διαδίκτυο κατευθείαν. Το μόνο firewall που θα τον προστατεύει θα είναι του κάθε host ξεχωριστά.
το nat δεν θα πρεπει να θεωρείται μηχανισμός ασφαλείας (όπως και το chroot απο μόνο του).
Αφορά BMC όπως λέει το άρθρο, αν ηταν περισσότερο ανοικτοί οι κατασκευαστές σε αυτά, θα είμασταν καλύτερα. Πιθανώς μια ευρωπαϊκή οδηγία έτσι ωστε να λήγουν τα συγγενικά πνευματικά δικαιώματα σε εξοπλισμό και υλικό που βαφτίζεται eol, θα βοηθούσε έτσι ώστε είτε να άνοιγει ο αρχικός κώδικας, είτε να δημιουργούνταν μια δευτερογενής αγορά με open source ΒΜC replacement chips και software stacks.
--------------------
όσο next gen και να είναι αμα τρεχεις αδυναμο λογισμικό, είναι σαν να έχεις πλοίο που βαζει νερό και εσυ βαζεις αντλίες, αντί να επισκευάσεις τη ζημιά.
Γι αυτό λέει για mitigation.Τελευταία επεξεργασία από το μέλος MyISLM : 13-04-24 στις 11:21.
-
13-04-24, 09:27 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #8
-
13-04-24, 10:15 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #9There's no substitute for experience
CorollaClub
-
13-04-24, 11:37 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #10
Το nat και το firewalling στο ipv6 στο cpe κανει ακριβως την ιδια δουλεια.
Ομως αν με οποιοδηποτε τροπο αυτο ξεπεραστει, εισαι απλα ξεβρακωτος.
Δες και αυτο που τρεχει με την palo alto. Περασαν, και μετα πηραν active directory, password files απο browsers, rdp credentials. Ομορφα ε?
-
13-04-24, 14:14 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #11
-
13-04-24, 14:38 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #12There's no substitute for experience
CorollaClub
-
14-04-24, 00:54 Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους #13
-
24-04-24, 11:46 Απάντηση: Re: Απάντηση: Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λ #14
Bookmarks