Una grave falla di sicurezza persiste su hardware di controllo per server espone i server stessi al furto di informazioni. Tra i marchi coinvolti spiccano i nomi di Intel e Lenovo. Si tratta di un problema complesso e radicato che non si può risolvere, e che coinvolge sia l’hardware sia alcuni software open source.
La causa principale della vulnerabilità è una svista nella catena di fornitura, che ha consentito la presenza di una vulnerabilità sfruttabile nei BMC (Baseboard Management Controllers) prodotti da AMI e AETN e incorporati nei server di Intel, Lenovo e Supermicro.
Questa falla, legata a una versione vulnerabile del software open source lighttpd, è rimasta irrisolta per anni nonostante una correzione del software nel 2018. Nonostante siano passati più di cinque anni i produttori non hanno integrato la correzione, mettendo così a rischio gli utenti che utilizzano tali hardware.
La vulnerabilità in lighttpd consente agli hacker di identificare gli indirizzi di memoria critici per il funzionamento del sistema, superando le protezioni standard come ASLR (Address Space Layout Randomization).
Purtroppo al momento chi ha uno o più server colpiti dal problema non ha una soluzione immediata né un workaround, a parte ovviamente sostituire la macchina con un prodotto che non sia colpito dallo stesso problema.