Binarly 研究人员发现,戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。
OpenSSL 软件库允许通过计算机网络进行安全通信,能够有效防止窃听。OpenSSL 包含开源的安全套接字协议(SSL)和传输层安全(TLS)协议,研究人员通过分析上述制造商使用的设备的固件图像时发现了问题所在。
专家们分析了作为任何 UEFI 固件所必要的核心框架之一 EDKII,该框架在 CryptoPkg 组件中的 OpenSSL 库(OpensslLib)上有自己的子模块和包装器。EDK II 是一个现代化、功能丰富的跨平台固件开发环境,适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。EDKII 的主要存储库托管在 Github 上,并经常更新。但专家们在分析这些厂商的设备时,发现在其固件镜像中使用过时版本的 OpenSSL:0.9.8zb、1.0.0a 和 1.0.2j,其中最新的 OpenSSL 版本早在 2018 年就已发布。专家们甚至还在部分设备中发现了 更早的、来自 2009 年发布的 0.9.8l 版本。
戴尔、惠普和联想部分设备中的 OpenSSL 版本
Binarly Platform 在野外检测到的戴尔、惠普和联想设备中不同 OpenSSL 版本占比
Binarly 发布的报告表示,许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代码早在 8 年前就已成为易受攻击的“不安全代码”。
专家指出,同一个设备固件代码往往依赖不同版本的 OpenSSL。 选择这种设计的原因是第三方代码的供应链依赖于其自己的代码库,而设备固件开发人员通常无法使用这些代码库,这通常会增加供应链的复杂性,带来潜在的安全风险。
参考来源:https://securityaffairs.co/wordpress/138986/security/dell-hp-lenovo-openssl-outdated.html