Παλιότερα συστήματα των Intel και Lenovo, έχουν ευπάθεια στοι firmware που δεν θα επιδιορθωθεί λόγω EOL τους

[nnn]

Ορισμένα προϊόντα Intel και Lenovo έχουν ένα μη επιδιορθώσιμο σφάλμα στο υλικολογισμικό τους που θα μπορούσε να επιτρέψει την παραβίαση των συσκευών. Το εν λόγω σφάλμα δεν έχει επιδιορθωθεί εδώ και χρόνια και δεν πρόκειται ποτέ να επιδιορθωθεί, επειδή τα επηρεαζόμενα προϊόντα έχουν θεωρηθεί "end-of-life" και δεν θα λάβουν καμία πρόσθετη ενημέρωση λογισμικού. Παρόλο που η ευπάθεια είναι αρκετά σοβαρή για να επιτρέψει σε έναν κακόβουλο δράστη να την συνδέσει με ένα πιο εξελιγμένο exploit, από μόνη της δεν αποτελεί μεγάλη απειλή.

Αυτή την εβδομάδα, η εταιρεία ασφαλείας Binarly δημοσίευσε μια έκθεση σχετικά με τα ζητήματα ασφαλείας, τα οποία περιστρέφονται γύρω από το Lighttpd - ένανευέλικτοδιακομιστή ιστού ανοικτού κώδικα που χρησιμοποιείται σε πολυάριθμα τεχνολογικά προϊόντα, συμπεριλαμβανομένων στοιχείων υλικολογισμικού. Πριν από χρόνια, το καλοκαίρι του 2018, ανακαλύφθηκε από τους συντηρητές του μια ευπάθεια λογισμικού με δυνατότητα απομακρυσμένης εκμετάλλευσης μέσα στον Lighttpd, η οποία θα μπορούσε υποθετικά να επιτρέψει σε έναν επιδέξιο εγκληματία του κυβερνοχώρου να αποκτήσει πρόσβαση σε ζωτικής σημασίας πληροφορίες ασφαλείας.

Οι συντηρητές του λογισμικού Lighttpd εξέδωσαν αθόρυβα μια διόρθωση στον δικό τους κώδικα, δήλωσαν οι ερευνητές της Binarly, αλλά δεν την επισημοποίησαν μέσω ενός CVE - ενός κοινού αναγνωριστικού ευπάθειας και έκθεσης - το οποίο θα επέτρεπε στις εταιρείες που χρησιμοποιούν το λογισμικό να διορθώσουν το πρόβλημα. Το Lighttpd χρησιμοποιείται σε πολλά προϊόντα, συμπεριλαμβανομένων εκείνων που παράγονται από την American Megatrends International (AMI), μια εταιρεία που παράγει μεγάλο μέρος του λογισμικού firmware στο οποίο βασίζονται μεγάλες εταιρείες.
Το αποτέλεσμα είναι ότι ορισμένα είδη υλικού -συμπεριλαμβανομένων διαφόρων προϊόντων που παράγονται από τη Lenovo και την Intel- δεν έλαβαν ποτέ τη διόρθωση και, ως εκ τούτου, εξακολουθούν να είναι ευάλωτα στο bug.

Τώρα, αυτές οι επηρεαζόμενες συσκευές δεν θα διορθωθούν ποτέ, υποστηρίζουν οι ερευνητές της Binarly, επειδή οι προμηθευτές τους δεν προωθούν πλέον ενημερώσεις λογισμικού για αυτές.

Όταν ζητήθηκε σχόλιο, η Lenovo δήλωσε ότι "γνωρίζει την ανησυχία για το AMI MegaRAC που εντοπίστηκε από την Binarly" και ότι "συνεργάζεται με τον προμηθευτή μας για να εντοπίσει τυχόν επιπτώσεις στα προϊόντα Lenovo". Η Intel, εν τω μεταξύ, δήλωσε ότι "η επηρεαζόμενη συσκευή είναι επί του παρόντος στο τέλος της ζωής της, πράγμα που σημαίνει ότι δεν θα παρέχονται λειτουργικές, ασφαλείας ή άλλες ενημερώσεις".

Πηγή : Gizmodo

[tsigarid]

EOL σημαίνει κάτι πολύ συγκεκριμένο, και οι χρήστες EOL hardware/software πρέπει να το συνειδητοποιούν αυτό.

[vageo]

Θα έχει πρόβλημα και η αγορά Refurbished υπολογιστών;

[tsigarid]

Refurbished συνήθως δεν είναι παλιά μηχανήματα.

[netblues]

Ε εχει και τετοια. Οταν πουλανε intel 4 ης γεννιας και ιμαστε στη 14η τι ειναι?
Κανονικα θα επρεπε να υπαρχει απαγορευση πωλησηςσε οτιδηποτε eol, αλλα αυτο δημιουργει διαφορα πρακτικα προβληματα.
Το επιχειρημα θα ηταν οτι δεν θα το συνδεω στο Internet και παντα υπαρχει καποιος σπηλαιοκρατωρ που θελει απλα να γραφει κειμενα (στο wordperfect να υποθεσουμε).

Ας το κανουμε με τα κινητα, να πεσει κλαμα και γελιο. Οτιδηποτε out of support να μην επιτρεπεται η προσβαση στο internet. Οποτε μονο τηλεφωνο, και sms. Αυστηρα.
Οτι πρεπει για πρωταπριλιατικο βεβαια, αλλα απο πλευρας ασφαλειας, θα επρεπε.

[BlueChris]

50000 τρύπες να έχει το bios, τι νόημα έχει εφόσον είμαστε πίσω από Nat? Ή εγώ δεν έχω καταλάβει κάτι?

[MyISLM]

τι νόημα έχει εφόσον είμαστε πίσω από Nat?

Μα θα τους προστατέψει όλους το ρουτερ του provider

Στο Ipv6 να το δώ. Εκεί κάθε host βγαίνει στο διαδίκτυο κατευθείαν. Το μόνο firewall που θα τον προστατεύει θα είναι του κάθε host ξεχωριστά.

το nat δεν θα πρεπει να θεωρείται μηχανισμός ασφαλείας (όπως και το chroot απο μόνο του).


Αφορά BMC όπως λέει το άρθρο, αν ηταν περισσότερο ανοικτοί οι κατασκευαστές σε αυτά, θα είμασταν καλύτερα. Πιθανώς μια ευρωπαϊκή οδηγία έτσι ωστε να λήγουν τα συγγενικά πνευματικά δικαιώματα σε εξοπλισμό και υλικό που βαφτίζεται eol, θα βοηθούσε έτσι ώστε είτε να άνοιγει ο αρχικός κώδικας, είτε να δημιουργούνταν μια δευτερογενής αγορά με open source ΒΜC replacement chips και software stacks.

Off Topic

Η συζήτηση περι Intel Me/Vpro AMD PSP θυμίζει κάτι;

--------------------

πλήρωνε NGFW Firewall που σύντομα θα έχει και ΑΙ

όσο next gen και να είναι αμα τρεχεις αδυναμο λογισμικό, είναι σαν να έχεις πλοίο που βαζει νερό και εσυ βαζεις αντλίες, αντί να επισκευάσεις τη ζημιά.

Γι αυτό λέει για mitigation.

[netblues]

50000 τρύπες να έχει το bios, τι νόημα έχει εφόσον είμαστε πίσω από Nat? Ή εγώ δεν έχω καταλάβει κάτι?

Ρε συ.. εχουμε 2024. Ο οχτρος ειναι απο μεσα. Τι να λεμε?
Βρες μου ΕΝΑ δυκτιο που θα τρεξει εσωτερικα vulnerability scan και δεν θα βρει τουλαχιστον 50 τρυπες, και οχι σε eol εξοπλισμο.

Εαν ολη μας η προστασια εξαντλειται στο mitigation, ξεκιναμε απο λαθος βαση.

[BlueChris]

Ρε συ.. εχουμε 2024. Ο οχτρος ειναι απο μεσα. Τι να λεμε?
Βρες μου ΕΝΑ δυκτιο που θα τρεξει εσωτερικα vulnerability scan και δεν θα βρει τουλαχιστον 50 τρυπες, και οχι σε eol εξοπλισμο.

Εαν ολη μας η προστασια εξαντλειται στο mitigation, ξεκιναμε απο λαθος βαση.

Μα θα τους προστατέψει όλους το ρουτερ του provider χωρίς να χρειαστεί κανείς να βάλει το χέρι στη τσέπη... Κάτσε εσυ χαζούλη και πλήρωνε NGFW Firewall που σύντομα θα έχει και ΑΙ βοήθεια στην ασφάλεια.

[netblues]

Το nat και το firewalling στο ipv6 στο cpe κανει ακριβως την ιδια δουλεια.
Ομως αν με οποιοδηποτε τροπο αυτο ξεπεραστει, εισαι απλα ξεβρακωτος.
Δες και αυτο που τρεχει με την palo alto. Περασαν, και μετα πηραν active directory, password files απο browsers, rdp credentials. Ομορφα ε?

[megahead13]

Το nat και το firewalling στο ipv6 στο cpe κανει ακριβως την ιδια δουλεια.
Ομως αν με οποιοδηποτε τροπο αυτο ξεπεραστει, εισαι απλα ξεβρακωτος.
Δες και αυτο που τρεχει με την palo alto. Περασαν, και μετα πηραν active directory, password files απο browsers, rdp credentials. Ομορφα ε?

Ενδιαφέρον, μπορείς να δώσεις κάποιο link;;;

[BlueChris]

Ενδιαφέρον, μπορείς να δώσεις κάποιο link;;;

1η είδηση στο φόρουμ

[megahead13]

1η είδηση στο φόρουμ

[uniqueAthens]

Στο Ipv6 να το δώ. Εκεί κάθε host βγαίνει στο διαδίκτυο κατευθείαν. Το μόνο firewall που θα τον προστατεύει θα είναι του κάθε host ξεχωριστά.

Και αν κάποιος έχει απενεργοποιημένο το ipv6 απο το router του?