研究人员发现,戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。
Binarly 研究人员发现,戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。
OpenSSL软件库允许通过 计算机网络进行安全通信,防止窃听或需要识别另一端的一方。OpenSSL 包含安全套接字层 (SSL) 和传输层安全 (TLS) 协议的开源实现。
研究人员通过分析上述制造商使用的设备的固件图像发现了这个问题。
专家们分析了用作任何 UEFI 固件一部分的 EDKII 核心框架之一,它在CryptoPkg组件中有自己的子模块和 OpenSSL 库 ( OpensslLib ) 的 包装器 。
EDK II 是一个现代的、功能丰富的跨平台固件开发环境,适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。
主要的 EDKII 存储库托管在 Github 上并经常更新。
专家们首先分析了联想Thinkpad企业设备,发现它们在固件镜像中使用了不同版本的OpenSSL。
联想 Thinkpad 企业设备使用了三个不同版本的 OpenSSL:0.9.8zb、1.0.0a 和 1.0.2j。最新的 OpenSSL 版本于 2018 年发布。
“许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含已知至少八 (8) 年易受攻击的代码。” 阅读Binarly 发布的报告。“InfineonTpmUpdateDxe 模块负责更新英飞凌芯片上可信平台模块(TPM)的固件。这清楚地表明了第三方依赖项的供应链问题,当这些依赖项看起来从未收到更新时,即使是对于关键的安全问题也是如此。”
其中一个名为 InfineonTpmUpdateDxe 的固件模块使用 2014 年 8 月 4 日发布的 OpenSSL 版本 0.9.8zb。
研究人员发现,联想企业设备上使用的最新 OpenSSL 版本可以追溯到 2021 年夏天。
专家指出,同一个设备固件代码往往依赖不同版本的OpenSSL。
选择这种设计的原因是第三方代码的供应链依赖于他们自己的代码库,而设备固件开发人员通常无法使用这些代码库。研究人员解释说,这会增加供应链的复杂性。
“大多数 OpenSSL 依赖项都作为库静态链接到特定的固件模块,这些模块创建了编译时依赖项,如果没有深入的代码分析功能,这些依赖项很难识别。” 继续报告。“从历史上看,第三方代码依赖项中的问题在编译代码级别并不是一个容易解决的问题。”
专家们注意到,戴尔和联想的设备依赖可追溯到 2009 年的 0.9.8l 版本。
一些联想设备使用的是 2010 年的 1.0.0a 版本,而观察到三个供应商(联想、戴尔、惠普)使用的是 2012 年的 0.9.8w 版本。
“当涉及到编译代码以在二进制级别进行验证时,我们发现迫切需要额外的 SBOM 验证层,即与供应商提供的实际 SBOM 相匹配的第三方依赖信息列表,”报告总结道。“‘信任但验证’方法是处理 SBOM 故障和降低供应链风险的最佳方法。”
翻译自:securityaffairs
戴尔、惠普和联想的设备使用过时的 OpenSSL 版本
发布日期:2022-12-27
领取优惠
提交成功!