last posts

Geräte von Dell, HP und Lenovo verwendeten veraltete OpenSSL-Versionen Security Affairs

Meta description

Forscher fanden heraus, dass Geräte von Dell, HP und Lenovo immer noch veraltete Versionen der kryptografischen OpenSSL-Bibliothek verwenden.

Binäre Forscher fanden heraus, dass Geräte von Dell, HP und Lenovo immer noch veraltete Versionen der kryptografischen OpenSSL-Bibliothek verwenden.

Die OpenSSL-Softwarebibliothek trägt dazu bei, die Kommunikation über Computernetzwerke vor Abhören oder der Notwendigkeit zu schützen, die Partei am anderen Ende zu identifizieren. OpenSSL enthält eine Open-Source-Implementierung der Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS).

Forscher entdeckten das Problem, indem sie Firmware-Images analysierten, die von Geräten der oben genannten Hersteller verwendet wurden.

Experten analysierten eines der zentralen EDKII-Frameworks, das als Teil jeder UEFI-Firmware verwendet wird, die über ein eigenes Submodul und einen Wrapper für die OpenSSL-Bibliothek (OpensslLib) in der CryptoPkg-Komponente verfügt.

EDKII ist eine moderne, funktionsreiche plattformübergreifende Firmware-Entwicklungsumgebung für UEFI- und UEFI-Plattforminitialisierungs-(PI)-Spezifikationen.

Das Haupt-EDKII-Repository wird auf Github gehostet und regelmäßig aktualisiert.

Experten analysierten zunächst Lenovo Thinkpad Enterprise-Geräte und stellten fest, dass sie im Firmware-Image unterschiedliche Versionen von OpenSSL verwendeten.

Lenovo Thinkpad Enterprise-Geräte verwendeten drei verschiedene Versionen von OpenSSL: 0.9.8zb, 1.0.0a und 1.0.2j. Die neueste Version von OpenSSL wurde 2018 veröffentlicht.

„Viele sicherheitsrelevante Firmware-Module enthalten stark veraltete Versionen von OpenSSL. Einige von ihnen, wie InfineonTpmUpdateDxe, enthalten Code, von dem bekannt ist, dass er seit mindestens acht (8) Jahren anfällig ist. liest den von Binarly veröffentlichten Bericht. „Das Infineon TpmUpdateDxe-Modul ist für die Aktualisierung der Trusted Platform Module (TPM)-Firmware auf dem Infineon-Chip verantwortlich. Dies weist eindeutig auf das Problem in der Lieferkette mit Abhängigkeiten von Drittanbietern hin, wenn es scheint, dass diese Abhängigkeiten nie ein Update erhalten haben, selbst bei kritischen Sicherheitsproblemen.

Eines der Firmware-Module mit dem Namen InfineonTpmUpdateDxe verwendet die OpenSSL-Version 0.9.8zb, die am 4. August 2014 veröffentlicht wurde.

Forscher fanden heraus, dass die neueste Version von OpenSSL von Lenovo-Unternehmensgeräten verwendet wird und auf den Sommer 2021 zurückgeht.

OpenSSL

Das folgende Bild zeigt für jeden Anbieter alle Versionen von OpenSSL, die von der Plattform-Binärdatei in freier Wildbahn erkannt wurden:

OpenSSL-Anbieter

Experten wiesen darauf hin, dass derselbe Geräte-Firmwarecode oft auf verschiedenen Versionen von OpenSSL beruht.

Der Grund für diese Designwahl ist, dass die Codelieferkette von Drittanbietern von ihrer eigenen Codebasis abhängt, die Entwicklern von Gerätefirmware oft nicht zur Verfügung steht. Die Forscher erklärten, dass dies eine zusätzliche Ebene der Komplexität in die Lieferkette einführt.

„Die meisten OpenSSL-Abhängigkeiten sind als Bibliotheken statisch mit bestimmten Firmware-Modulen verknüpft, die Abhängigkeiten zur Kompilierzeit erzeugen, die ohne tiefgreifende Codeanalysefunktionen schwer zu identifizieren sind.“ fährt der Bericht fort. „Historisch gesehen ist das Problem der Code-Abhängigkeiten von Drittanbietern kein leicht zu lösendes Problem auf der Ebene des kompilierten Codes.“

Experten ist aufgefallen, dass Geräte von Dell und Lenovo auf der Version 0.9.8l aus dem Jahr 2009 basieren.

Einige Lenovo-Geräte verwendeten die Version 1.0.0a aus dem Jahr 2010, während bei allen drei Anbietern (Lenovo, Dell, HP) die Version 0.9.8w aus dem Jahr 2012 verwendet wurde.

„Wir sehen einen dringenden Bedarf an einer zusätzlichen Ebene der SBOM-Validierung in Bezug auf kompilierten Code, um auf der Binärebene die Liste der Abhängigkeitsinformationen von Drittanbietern zu validieren, die mit der tatsächlichen SBOM des Anbieters übereinstimmen“, schließt der Bericht. „Ein „Vertrauen, aber überprüfen“-Ansatz ist der beste Weg, um SBOM-Ausfälle zu bewältigen und das Lieferkettenrisiko zu reduzieren. »

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacken, Firmware)





Blog In 2021 joker0o xyz




Font Size
+
16
-
lines height
+
2
-