Binarly’deki siber güvenlik araştırmacıları, yakın zamanda OpenSSL şifreleme kitaplığının eski sürümlerinin, aşağıdaki şirketler tarafından cihazlarında hala kullanıldığını keşfetti:-
Eski olan OpenSSL şifreleme kitaplığı sürümleri, eski sürümleri nedeniyle tedarik zinciri için bir risk oluşturur.
Çekirdek konusu
UEFI’nin açık kaynaklı bir uygulaması, aynı zamanda bir EFI olan EDK olarak da bilinen EFI Geliştirme Kitidir. Bu anlamda işletim sistemi, cihazın donanımına gömülü olan üretici yazılımı ile işletim sistemi arasında bir arayüz işlevi görür.
Ürün yazılımı geliştirme ortamına yerleşik, CryptoPkg adlı bir kriptografik paket vardır ve sonuç olarak, ürün yazılımı içinde kriptografik hizmetler sağlamak için OpenSSL projesindeki hizmetleri kullanır.
OpenSSL’nin birkaç sürümünün, Lenovo Thinkpad kurumsal aygıtlarıyla ilişkili üretici yazılımı görüntülerinin bir parçası olduğu bulundu ve aşağıda OpenSSL’nin üç sürümünden de bahsetmiştik:-
Ürün yazılımında, 4 Ağustos 2014’te piyasaya sürülen OpenSSL sürüm 0.9.8zb’ye dayanan ve InfineonTpmUpdateDxe olarak bilinen bir modül vardır. Güvenli yuva katmanı (SSL) ve taşıma katmanı güvenliği (TLS), OpenSSL tarafından uygulanan açık kaynaklı protokollerdir.
EDKII’nin Github deposu düzenli olarak güncellenir ve güvenlik sorunları geliştirici topluluğu tarafından ele alınır. Sorunun kendi cihazlarında mevcut olup olmadığını belirlemek için yukarıdaki üreticiler tarafından kullanılan bazı üretici yazılımı görüntüleri analiz edildi.
OpenSSL’nin farklı sürümlerinin ana kurumsal satıcılarla nasıl ilişkili olduğuna ve daha iyi anlamak için her sürümün çıkış tarihiyle nasıl bağlantılı olduğuna bir göz atalım:-
Çoğu zaman, ürün yazılımı, zincirin sonundaki son kullanıcı cihazlarının yanı sıra bir tedarik zincirinin tüm katmanları arasında tek bir arıza noktası olarak kabul edilebilir.
Son zamanlarda, Microsoft aşağıdaki kilit noktayı vurguladı: –
“İncelenen aygıt yazılımı görüntülerinin %32’sinde belirlenen en az 10 kritik güvenlik açığı vardı.”
Ürün yazılımı güncellemelerinin yaklaşık %20’sinde ürün yazılımındaki en az iki veya üç güvenlik açığının bulunduğu tahmin edilmektedir.
2021 yazında, Lenovo kurumsal cihazları, o sırada İnternet’te bulunan OpenSSL protokolünün en son sürümünü kullanıyordu.
Lenovo’nun ve Dell’in ürün yazılımı paketlerinin birçoğu, 5 Kasım 2009’da piyasaya sürülen ve artık on yılı aşkın bir süredir eski olan eski bir sürümü (0.9.8l) kullanıyor.
Benzer şekilde, HP’nin aygıt yazılımı kodu, kitaplığın 10 yıllık bir sürümüne (0.9.8w) bağlıydı ve yalnızca aynısı bile diğer birçok üretici tarafından da kullanılıyordu.
İkili kod analiz alanı, dünyadaki en karmaşık alanlardan biridir ve kolay bir çözümü yoktur. SBOM’a dayalı tedarik zinciri güvenlik çözümlerinin günümüz dünyasında başarılı olabilmesi için endüstrinin zihniyetini değiştirmesi ve bunlar hakkında farklı düşünmeye başlaması gerekiyor.
Uygulamanın kodunda yer alan üçüncü taraf kodu söz konusu olduğunda, bağımlılıklar listesi sürekli başarısız oluyor. SBOM başarısızlıklarıyla uğraşırken, “güven ama-doğrula” yaklaşımı, tedarik zinciri risklerini ve SBOM başarısızlık olasılığını azaltmanın en iyi yoludur.