Анализ прошивки от Dell, HP и Lenovo выявил наличие устаревших версий криптографической библиотеки OpenSSL, что создает дополнительные риски для цепочек поставок.
EFI Dev Kit является кодом разработки, который используется для приложений, изображений микропрограмм и драйверов UEFI. А EFI Development Kit II поставляется с собственным криптографическим пакетом CryptoPkg, который, использует службы проекта OpenSSL.
По данным ИБ-компании Binarl, в прошивке устройств Lenovo Thinkpad использовались три различные версии OpenSSL: 0.9.8zb, 1.0.0a и 1.0.2j, последняя из которых была выпущена в 2018 году. Более того, один из модулей прошивки под названием InfineonTpmUpdateDxe использовал OpenSSL версии 0.9.8zb, которая вышла 4 августа 2014 года.
“Модуль InfineonTpmUpdateDxe отвечает за обновление прошивки Trusted Platform Module (TPM) на чипе Infineon”, – пишут специалисты Binarly в своем отчете.
По их словам, эта ситуация четко указывает на проблему цепочки поставок со сторонними зависимостями, которые не получают исправления даже для критических уязвимостей.
Стоит отметить, некоторые пакеты прошивок Lenovo и Dell использовали еще более старую версию (0.9.8l), которая вышла 5 ноября 2009 года. У HP наблюдается похожая проблема – некоторые прошивки используют версию OpenSSL 10-летней давности (0.9.8w).