Dell, HP e Lenovo System encontrados usando biblioteca criptográfica OpenSSL desatualizada.

Os pesquisadores de segurança cibernética da Binarly descobriram recentemente que versões desatualizadas da biblioteca criptográfica OpenSSL ainda estão sendo usadas pelas seguintes empresas em seus dispositivos:

• Dell
• HP
• lenovo 

Versões da biblioteca criptográfica OpenSSL desatualizadas representam um risco para a cadeia de suprimentos devido a suas versões desatualizadas.

Problema central

Uma implementação de código aberto do UEFI é o EFI Development Kit, também conhecido como EDK, que também é um EFI. Nesse sentido, o sistema operacional funciona como uma interface entre o firmware embutido no hardware do dispositivo e o sistema operacional.

Há um pacote criptográfico incorporado ao ambiente de desenvolvimento de firmware chamado CryptoPkg que, como resultado, usa serviços do projeto OpenSSL para fornecer serviços criptográficos no firmware.

Verificou-se que várias versões do OpenSSL fazem parte das imagens de firmware associadas aos dispositivos corporativos Lenovo Thinkpad , e aqui abaixo mencionamos todas as três versões do OpenSSL:- 

• 0.9.8zb
• 1.0.0a
• 1.0.2j

Há um módulo no firmware que depende do OpenSSL versão 0.9.8zb, lançado em 4 de agosto de 2014, conhecido como InfineonTpmUpdateDxe. A camada de soquete seguro (SSL) e a segurança da camada de transporte (TLS) são protocolos de código aberto implementados pelo OpenSSL.

Regularmente, o repositório Github do EDKII é atualizado e os problemas de segurança são resolvidos pela comunidade de desenvolvedores. Várias imagens de firmware usadas pelos fabricantes acima foram analisadas para determinar se o problema estava presente em seus dispositivos.

Vamos dar uma olhada em como as diferentes versões do OpenSSL se relacionam com os principais fornecedores corporativos e como cada versão está vinculada à data de lançamento para melhor compreensão:-

Muitas vezes, o firmware pode ser considerado como um único ponto de falha entre todas as camadas de uma cadeia de suprimentos, bem como os dispositivos do usuário final no final da cadeia.

Recentemente, a Microsoft destacou o seguinte ponto-chave:-

“Havia pelo menos 10 vulnerabilidades críticas identificadas em 32% das imagens de firmware examinadas.”

Embora seja estimado que pelo menos duas ou três vulnerabilidades no firmware estejam presentes em cerca de 20% das atualizações de firmware.

No verão de 2021, os dispositivos corporativos da Lenovo estavam usando a versão mais recente do protocolo OpenSSL disponível na Internet na época.

Muitos dos pacotes de firmware da Lenovo e da Dell ainda usam uma versão mais antiga (0.9.8l), que foi lançada em 5 de novembro de 2009 e já tem mais de uma década. 

Da mesma forma, o código de firmware da HP dependia de uma versão de 10 anos atrás da biblioteca (0.9.8w), e não apenas isso ainda era usado por muitos outros fabricantes também.

O campo de análise de código binário é um dos mais complexos do mundo, e não há solução fácil. Para que as soluções de segurança da cadeia de suprimentos baseadas em SBOM sejam bem-sucedidas no mundo de hoje, a indústria precisa mudar sua mentalidade e começar a pensar nelas de maneira diferente.

Sempre que se trata do código de terceiros encapsulado no código do aplicativo, a lista de dependências falha constantemente. Ao lidar com falhas de SBOM, uma abordagem de ‘confiar, mas verificar’ é a melhor maneira de reduzir os riscos da cadeia de suprimentos e a probabilidade de falhas de SBOM.