Търсене
Close this search box.

Dell, HP и Lenovo използват остарели версии на OpenSSL

Анализът на фърмуера на устройства от Dell, HP и Lenovo разкри наличието на остарели версии на криптографската библиотека OpenSSL, което подчертава риска във веригата за доставки.

EFI Development Kit, известен още като EDK, е реализация с отворен код на Unified Extensible Firmware Interface (UEFI), който функционира като интерфейс между операционната система и фърмуера, вграден в хардуера на устройството.

Средата за разработване на фърмуер, която е във втората си итерация (EDK II), се предлага със собствен криптографски пакет, наречен CryptoPkg, който на свой ред използва услуги от проекта OpenSSL.

Според компанията за сигурност на фърмуера Binarly е установено, че образът на фърмуера, свързан с корпоративните устройства Lenovo Thinkpad, използва три различни версии на OpenSSL: 0.9.8zb, 1.0.0a и 1.0.2j, последната от които е пусната през 2018г.

Нещо повече, един от модулите на фърмуера, наречен InfineonTpmUpdateDxe, разчиташе на OpenSSL версия 0.9.8zb, която беше доставена на 4 август 2014г.

„Модулът InfineonTpmUpdateDxe отговаря за актуализирането на фърмуера на Trusted Platform Module (TPM) на чипа Infineon“, обясни Бинарли в техническо описание миналата седмица.

OpenSSL Versions

„Това ясно показва проблема с веригата за доставки със зависимостите от трети страни, когато изглежда, че тези зависимости никога не са получавали актуализация, дори за критични проблеми със сигурността.“

Като оставим настрана разнообразието от версии на OpenSSL, някои от пакетите с фърмуер от Lenovo и Dell използват още по-стара версия (0.9.8l), която е излязла на 5 ноември 2009г. Кодът на фърмуера на HP също така използваше 10-годишна версия на библиотеката (0.9.8w).

Фактът, че фърмуерът на устройството използва няколко версии на OpenSSL в един и същ двоичен пакет, подчертава как зависимостите от кода на трети страни могат да внесат повече сложност в екосистемата на веригата за доставки.

Бинарли посочи още слабостите в така наречения софтуерен списък на материалите (SBOM), които възникват в резултат на интегрирането на компилирани двоични модули (известни още като затворен код) във фърмуера.

„Виждаме спешна необходимост от допълнително ниво на SBOM Validation, когато става въпрос за компилиран код, за да се валидира на ниво двоичен код списъкът с информация за зависимостите от трети страни, който да съответства на действителния SBOM, предоставен от доставчика“, заявиха от компанията.

„Подходът „доверявай се, но проверявай“ е най-добрият начин за справяне с неуспехите на SBOM и за намаляване на рисковете по веригата на доставки.“

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
23/02/2024

"Secure by Design" нараства...

ISC2 – водещата световна организация с...
19/02/2024

Овладейте многооблачността ...

Постигнете скорост и надеждност на интернет,...
09/02/2024

Мрежата за гости

Wi-Fi за гости се отнася до...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!