کشف نسخه‌های از رده خارج OpenSSL در دستگاه‌های Dell، HP و Lenovo

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir dell hp and lenovo devices found using 1
تجزیه‌و‌تحلیل ایمیج‌های فریمور در سراسر دستگاه‌های Dell، HP و Lenovo وجود نسخه‌های قدیمی لایبرری کریپتوگرافیک OpenSSL را نشان می‌دهد که بر ریسک آلودگی زنجیره تامین اشاره دارد.
‌
کیت توسعه EFI، با نام مستعار EDK، یک پیاده‌ساز Unified Extensible Firmware Interface (UEFI) است که به‌عنوان اینترفیس بین سیستم‌عامل و فریمور تعبیه‌شده در سخت‌افزار دستگاه عمل می‌کند.
‌
محیط توسعه فریمور، که در دومین تکرار آن (EDK II) قرار دارد، با پکیج کریپتوگرافیک خاص خود به نام CryptoPkg ارائه می‌شود که به نوبه خود از خدمات پروژه OpenSSL استفاده می‌کند.
‌
طبق گفته شرکت امنیتی سیستم‌افزار Binarly، ایمیج فریمور مرتبط با دستگاه‌های سازمانی Lenovo Thinkpad از سه نسخه مختلف OpenSSL استفاده می‌کند : 0.9.8zb، 1.0.0a و 1.0.2j که آخرین آن در سال ٢٠١٨ منتشر شده است.
‌
علاوه بر این، یکی از ماژول‌های فریمور به نام InfineonTpmUpdateDxe بر OpenSSL نسخه 0.9.8zb متکی بود که در ٤ آگوست ٢٠١٤ ارسال گردیده است.
‌
هفته گذشته Binarly در یک گزارش فنی توضیح داد : "ماژول InfineonTpmUpdateDxe مسئول بروزرسانی فریمور Trusted Platform Module (TPM) در چیپ Infineon است. "
‌
takian.ir dell hp and lenovo devices found using 2
‌
"این به وضوح نشان‌دهنده مشکل زنجیره تامین با وابستگی‌های شخص ثالث است؛ زمانی که به نظر می‌رسد این وابستگی‌ها هرگز بروزرسانی، حتی برای مسائل امنیتی بحرانی و حیاتی دریافت نکرده‌اند. "
‌
اگر تنوع نسخه‌های OpenSSL را کنار بگذاریم، برخی از پکیج‌های فریمور Lenovo و Dell از نسخه حتی قدیمی‌تر (0.9.8l) استفاده می‌کردند که در ۵ نوامبر ٢٠٠٩ منتشر شده است. کد فریمور HP نیز از نسخه ١٠‌ساله لایبرری (0.9.8w) استفاده می‌کرده است.
‌ takian.ir dell hp and lenovo devices found using 3
این واقعیت که فریمور دستگاه از چندین نسخه OpenSSL در یک پکیج باینری استفاده می‌کند، نشان می‌دهد که چگونه وابستگی‌های کد شخص ثالث می‌تواند پیچیدگی‌های بیشتری را در اکوسیستم زنجیره تامین ایجاد کند.
‌
مجموعه Binarly در ادامه به نقاط ضعف آنچه که Software Bill of Material (SBOM) نامیده می‌شود، اشاره کرد که در نتیجه ادغام ماژول‌های باینری کامپایل شده (معروف به کلوزد سورس) در سیستم عامل ایجاد می‌شود.
‌
این شرکت گفت : "ما در مورد کد کامپایل شده برای اعتبارسنجی در سطح باینری، لیستی از اطلاعات وابستگی شخص ثالث که با SBOM واقعی ارائه‌شده توسط تامین‌کننده مطابقت دارد، نیاز فوری به یک لایه اضافی از اعتبارسنجی SBOM می‌بینیم. "
‌
آنها در‌نهایت افزودند : "رویکرد «اعتماد اما تایید» بهترین راه برای مقابله با خرابی‌های SBOM و کاهش خطرات آلودگی زنجیره تامین است."

برچسب ها: Binary, SBOM, Software Bill of Material, Infineon, TPM, Trusted Platform Module, 0.9.8zb, InfineonTpmUpdateDxe, Lenovo Thinkpad, CryptoPkg, EDK, EFI, Cryptographic, کریپتوگرافیک, لنوو, Lenovo, Frameware, Unified Extensible Firmware Interface, Library, HP, اچ پی, باینری, لایبرری‌, فریمور, دل, UEFI, Dell, اینترفیس, زنجیره تامین, Supply chain, OpenSSL, دفاع سایبری, Cyber Security, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ