Dell, HP ve Lenovo aygıtları arasında ürün yazılımı görüntülerinin analizi, tedarik zinciri riskinin altını çizerek OpenSSL şifreleme kitaplığının eski sürümlerinin varlığını ortaya çıkardı.
EFI Geliştirme Kiti, namı diğer EDK, işletim sistemi ile cihazın donanımına gömülü üretici yazılımı arasında bir arayüz görevi gören Birleşik Genişletilebilir Ürün Yazılımı Arayüzünün (UEFI) açık kaynaklı bir uygulamasıdır.
İkinci yinelemesinde (EDK II) olan üretici yazılımı geliştirme ortamı, OpenSSL projesinin hizmetlerinden yararlanan CryptoPkg adlı kendi şifreleme paketiyle birlikte gelir.
Üretici yazılımı güvenlik şirketi Binarly’ye göre, Lenovo Thinkpad kurumsal cihazlarıyla ilişkili ürün yazılımı görüntüsünün, sonuncusu 2018’de piyasaya sürülen üç farklı OpenSSL sürümü kullandığı bulundu: 0.9.8zb, 1.0.0a ve 1.0.2j.
Dahası, InfineonTpmUpdateDxe adlı aygıt yazılımı modüllerinden biri, 4 Ağustos 2014’te piyasaya sürülen OpenSSL sürüm 0.9.8zb’ye dayanıyordu.
Binarly, geçen hafta teknik bir yazıda “InfineonTpmUpdateDxe modülü, Infineon çipindeki Güvenilir Platform Modülü’nün (TPM) sabit yazılımını güncellemekten sorumludur.”
“Bu bağımlılıklar, kritik güvenlik sorunları için bile hiçbir güncelleme almamış gibi göründüğünde, üçüncü taraf bağımlılıklarla ilgili tedarik zinciri sorununu açıkça gösteriyor.”
OpenSSL sürümlerinin çeşitliliği bir yana, Lenovo ve Dell’in bazı üretici yazılımı paketleri, 5 Kasım 2009’da çıkan daha da eski bir sürümü (0.9.8l) kullanıyordu. HP’nin ürün yazılımı kodu da aynı şekilde 10 yıllık bir sürümü kullanıyordu. kitaplığın (0.9.8w).
Cihaz belleniminin aynı ikili pakette birden fazla OpenSSL sürümü kullanması, üçüncü taraf kod bağımlılıklarının tedarik zinciri ekosisteminde nasıl daha fazla karmaşıklığa yol açabileceğini vurgular.
Binarly ayrıca, derlenmiş ikili modüllerin (kapalı kaynak olarak da bilinir) bellenime entegre edilmesinin bir sonucu olarak ortaya çıkan Yazılım Malzeme Listesi (SBOM) olarak adlandırılan şeyin zayıflıklarına dikkat çekti.
Şirket, “Satıcı tarafından sağlanan gerçek SBOM ile eşleşen üçüncü taraf bağımlılık bilgilerinin listesi olan ikili düzeyde doğrulamak için derlenmiş kod söz konusu olduğunda, ekstra bir SBOM Doğrulama katmanına acil bir ihtiyaç görüyoruz” dedi.
“‘Güven ama doğrula’ yaklaşımı, SBOM başarısızlıklarıyla başa çıkmanın ve tedarik zinciri risklerini azaltmanın en iyi yoludur.”