Một phân tích về hình ảnh firmware trên các thiết bị của Dell, HP và Lenovo cho thấy sự hiện diện các phiên bản lỗi thời của thư viện mật mã OpenSSL, tiềm ẩn nguy cơ mất an toàn.
Bộ công cụ phát triển EFI, hay còn gọi là EDK, là một triển khai nguồn mở của UEFI (Unified Extensible Firmware Interface), có chức năng như một giao diện giữa hệ điều hành và firmware được nhúng trong phần cứng của thiết bị.
Môi trường phát triển firmware, ở phiên bản thứ hai (EDK II), đi kèm với gói mã hóa riêng có tên là CryptoPkg. Gói này sử dụng các dịch vụ từ dự án OpenSSL.
Theo công ty an ninh mạng Binarly, hình ảnh firmware các thiết bị doanh nghiệp Lenovo Thinkpad được phát hiện sử dụng 3 phiên bản OpenSSL khác nhau: 0.9.8zb, 1.0.0a và 1.0.2j, phiên bản cuối cùng được phát hành vào năm 2018.
Hơn nữa, một trong các mô-đun firmware có tên InfineonTpmUpdateDxe dựa trên OpenSSL phiên bản 0.9.8zb được xuất xưởng vào ngày 4 tháng 8 năm 2014.
“Mô-đun InfineonTpmUpdateDxe chịu trách nhiệm cập nhật firmware của TPM (Trusted Platform Module) trên chip Infineon,” Binarly giải thích trong một bài viết kỹ thuật vào tuần trước.
“Điều này rõ ràng cho thấy vấn đề về chuỗi cung ứng với các phần phụ thuộc của bên thứ ba khi có vẻ như các phần phụ thuộc này chưa bao giờ nhận được bản cập nhật, ngay cả đối với các vấn đề an ninh nghiêm trọng“.
Bỏ qua sự đa dạng của các phiên bản OpenSSL, một số gói firmware của Lenovo và Dell đã sử dụng phiên bản thậm chí còn cũ hơn (0.9.8l), ra mắt vào ngày 5 tháng 11 năm 2009. Tương tự, mã firmware của HP cũng sử dụng phiên bản 10 năm tuổi của thư viện này (0,9,8w).
Thực tế là firmware của thiết bị sử dụng nhiều phiên bản OpenSSL trong cùng một gói nhị phân nhấn mạnh sự phụ thuộc vào bên thứ ba có thể tiềm ẩn các nguy cơ trong hệ sinh thái chuỗi cung ứng.
Binarly tiếp tục chỉ ra những điểm yếu trong SBOM (Software Bill of Materials) phát sinh do tích hợp các mô-đun nhị phân đã compiled (còn gọi là nguồn đóng) trong firmware.
Công ty cho biết: “Chúng tôi nhận thấy nhu cầu cấp thiết về một lớp Xác thực SBOM bổ sung đối với mã được compiled để xác thực ở cấp độ nhị phân, danh sách thông tin phần phụ thuộc của bên thứ ba khớp với SBOM thực tế do nhà cung cấp đưa ra”.
“Cách tiếp cận ‘tin cậy nhưng xác minh’ là cách tốt nhất để đối phó với các lỗi SBOM và giảm rủi ro cho chuỗi cung ứng“.