Perangkat Keras Intel dan Lenovo Lama Memiliki Bug Firmware yang Dapat Diretas Yang Tidak Akan Pernah Diperbaiki, Para Peneliti Menemukan

Global, Ragam17 Dilihat

Beberapa produk Intel dan Lenovo memiliki bug yang tidak dapat diperbaiki pada firmware mereka yang memungkinkan perangkat diretas. Bug yang dipermasalahkan belum ditambal selama bertahun-tahun dan tidak akan pernah ditambal karena produk yang terkena dampak dianggap “sudah habis masa pakainya” dan tidak akan menerima pembaruan perangkat lunak tambahan apa pun. Meskipun kerentanan ini cukup serius sehingga pelaku kejahatan dapat mengaitkannya dengan eksploitasi yang lebih canggih, namun kerentanan tersebut tidak menimbulkan banyak ancaman.

Minggu ini, perusahaan keamanan Binarly menerbitkannya laporan tentang masalah keamanan, yang berkisar Lighttpd—server web sumber terbuka dan fleksibel yang digunakan di berbagai produk teknologi, termasuk komponen firmware. Bertahun-tahun yang lalu, pada musim panas tahun 2018, kerentanan perangkat lunak yang dapat dieksploitasi dari jarak jauh ditemukan di dalam Lighttpd oleh pengelolanya yang secara hipotetis memungkinkan penjahat dunia maya yang cerdas untuk mengakses informasi keamanan penting.

Baca juga  Ukraina Beri Perlawanan Sengit Terhadap Pasukan Rusia di Donetsk, Presiden Zelensky: Akhirnya Artileri Barat Bekerja, Akurasi Mereka Dibutuhkan

Pengelola perangkat lunak Lighttpd secara diam-diam mengeluarkan perbaikan pada kode mereka sendiri, kata peneliti Binarly, namun mereka tidak meresmikannya melalui CVE—pengidentifikasi kerentanan dan paparan umum—yang memungkinkan perusahaan menggunakan perangkat lunak tersebut untuk memperbaiki masalah tersebut. Lighttpd digunakan di banyak produk, termasuk yang diproduksi oleh American Megatrends International (AMI), sebuah perusahaan yang memproduksi sebagian besar perangkat lunak firmware yang diandalkan oleh perusahaan-perusahaan besar.

Efek tetesannya adalah jenis perangkat keras tertentu—termasuk berbagai produk yang diproduksi oleh Lenovo dan Intel—tidak pernah diperbaiki sehingga masih rentan terhadap bug. Sekarang, perangkat yang terkena dampak tersebut tidak akan pernah bisa diperbaiki, klaim peneliti Binarly, karena vendor mereka tidak lagi memberikan pembaruan perangkat lunak untuk perangkat tersebut.

Saat dimintai komentar, Lenovo mengatakan pihaknya “mengetahui kekhawatiran AMI MegaRAC yang diidentifikasi oleh Binarly” dan “bekerja sama dengan pemasok kami untuk mengidentifikasi potensi dampak terhadap produk Lenovo.” Intel, sementara itu, mengatakan bahwa “perangkat yang terkena dampak saat ini sudah habis masa pakainya, yang berarti tidak ada pembaruan fungsi, keamanan, atau pembaruan lainnya yang akan diberikan.”

Baca juga  Dokter Imigran Menyumbang Peran 'Luar Biasa' Pada Sistem Kesehatan AS

Ars Technika mencatat itu “Keparahan kerentanan lighttpd hanya moderat dan tidak ada nilainya kecuali penyerang memiliki eksploitasi yang berfungsi untuk kerentanan yang jauh lebih parah.” Peneliti Binarly mengatakan bahwa “penyerang potensial dapat mengeksploitasi kerentanan ini untuk membaca memori proses Server Web Lighttpd,” yang dapat menyebabkan “pengeluaran data sensitif, seperti alamat memori” dan “dapat digunakan untuk melewati mekanisme keamanan seperti ASLR.” Oleh karena itu, bug tersebut tampaknya lebih merupakan titik awal untuk serangan yang lebih canggih, meskipun bug tersebut jelas memberikan peluang untuk intrusi dan, pada akhirnya, kompromi.