古いバージョンの OpenSSL を使用している Dell、HP、および Lenovo デバイスが検出されました
Dell、HP、Lenovo のデバイス全体のファームウェア イメージを分析したところ、OpenSSL 暗号化ライブラリの古いバージョンが存在することが明らかになり、サプライ チェーンのリスクが浮き彫りになりました。
EFI 開発キット (別名 EDK) は、Unified Extensible Firmware Interface (UEFI) のオープン ソース実装であり、オペレーティング システムとデバイスのハードウェアに組み込まれたファームウェアとの間のインターフェイスとして機能します。
2 回目の反復 (EDK II) であるファームウェア開発環境には、CryptoPkg と呼ばれる独自の暗号化パッケージが付属しており、OpenSSL プロジェクトのサービスを利用します。
ファームウェア セキュリティ会社の Binarly によると、Lenovo Thinkpad エンタープライズ デバイスに関連付けられているファームウェア イメージは、OpenSSL の 3 つの異なるバージョン (0.9.8zb、1.0.0a、および 1.0.2j) を使用していることが判明しており、最後のバージョンは 2018 年にリリースされました。
先週のテクニカル ライトアップで、Infineon チップ上の Trusted Platform Module (TPM) のファームウェアの更新を担当するモジュールは InfineonTpmUpdateDxe であると Binarly が説明しました。
OpenSSL バージョンの多様性はさておき、Lenovo と Dell のファームウェア パッケージの一部は、2009 年 11 月 5 日にリリースされたさらに古いバージョン (0.9.8l) を使用していました。HP のファームウェア コードも同様に、10 年前のバージョンを使用していました。ライブラリの (0.9.8w)。
デバイス ファームウェアが同じバイナリ パッケージで複数のバージョンの OpenSSL を使用しているという事実は、サード パーティ コードの依存関係がサプライ チェーン エコシステムをより複雑にする可能性があることを示しています。
Binarly はさらに、コンパイルされたバイナリ モジュール (クローズド ソース) をファームウェアに統合した結果として生じるソフトウェア部品表 (SBOM) と呼ばれるものの弱点を指摘しました。
「バイナリレベルで検証するためにコンパイルされたコードになると、SBOM検証の追加レイヤーが緊急に必要であることがわかります。これは、ベンダーが提供する実際のSBOMと一致するサードパーティの依存関係情報のリストです」と同社は述べています.