{"id":494237,"date":"2022-11-25T17:13:47","date_gmt":"2022-11-25T17:13:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/dispositivos-dell-hp-y-lenovo-encontrados-con-versiones-de-openssl-obsoletas\/"},"modified":"2022-11-25T17:13:49","modified_gmt":"2022-11-25T17:13:49","slug":"dispositivos-dell-hp-y-lenovo-encontrados-con-versiones-de-openssl-obsoletas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dispositivos-dell-hp-y-lenovo-encontrados-con-versiones-de-openssl-obsoletas\/","title":{"rendered":"Dispositivos Dell, HP y Lenovo encontrados con versiones de OpenSSL obsoletas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\">\n<p><noscript><img decoding=\"async\" alt=\"Versiones OpenSSL\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Dispositivos-Dell-HP-y-Lenovo-encontrados-con-versiones-de-OpenSSL.png\" title=\"Versiones OpenSSL\"\/><\/noscript><\/div>\n<p>Un an\u00e1lisis de im\u00e1genes de firmware en dispositivos de Dell, HP y Lenovo revel\u00f3 la presencia de versiones desactualizadas de la biblioteca criptogr\u00e1fica OpenSSL, lo que subraya un riesgo en la cadena de suministro.<\/p>\n<p>Kit de desarrollo EFI, tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.tianocore.org\/\" target=\"_blank\">EDK<\/a>es una implementaci\u00f3n de c\u00f3digo abierto de la interfaz de firmware extensible unificada (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/UEFI\" target=\"_blank\">UEFI<\/a>), que funciona como una interfaz entre el sistema operativo y el firmware integrado en el hardware del dispositivo.<\/p>\n<p>El entorno de desarrollo de firmware, que se encuentra en su segunda iteraci\u00f3n (EDK II), viene con su propio paquete criptogr\u00e1fico llamado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/tianocore\/edk2\/tree\/master\/CryptoPkg\" target=\"_blank\">CryptoPkg<\/a> que, a su vez, hace uso de los servicios del proyecto OpenSSL.<\/p>\n<p>Seg\u00fan la empresa de seguridad de firmware Binarly, se descubri\u00f3 que la imagen de firmware asociada con los dispositivos empresariales Lenovo Thinkpad utiliza tres versiones diferentes de OpenSSL: 0.9.8zb, 1.0.0a y 1.0.2j, la \u00faltima de las cuales se lanz\u00f3 en 2018.<\/p>\n<p>Adem\u00e1s, uno de los m\u00f3dulos de firmware llamado InfineonTpmUpdateDxe se bas\u00f3 en OpenSSL versi\u00f3n 0.9.8zb que se envi\u00f3 el 4 de agosto de 2014.<\/p>\n<p>&#8220;El m\u00f3dulo InfineonTpmUpdateDxe es responsable de actualizar el firmware del M\u00f3dulo de plataforma segura (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/information-protection\/tpm\/trusted-platform-module-overview\" target=\"_blank\">TPM<\/a>) en el chip Infineon&#8221;, Binarly <a rel=\"nofollow noopener\" href=\"https:\/\/www.binarly.io\/posts\/OpenSSL_Usage_in_UEFI_Firmware_Exposes_Weakness_in_SBOMs\" target=\"_blank\">explicado<\/a> en un informe t\u00e9cnico la semana pasada.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img alt=\"Versiones OpenSSL\" border=\"0\" data-original-height=\"449\" data-original-width=\"728\" data-cfsrc=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669396427_203_Dispositivos-Dell-HP-y-Lenovo-encontrados-con-versiones-de-OpenSSL.png\" title=\"Versiones OpenSSL\" style=\"display:none;visibility:hidden;\"\/><noscript><img decoding=\"async\" alt=\"Versiones OpenSSL\" border=\"0\" data-original-height=\"449\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669396427_203_Dispositivos-Dell-HP-y-Lenovo-encontrados-con-versiones-de-OpenSSL.png\" title=\"Versiones OpenSSL\"\/><\/noscript><\/div>\n<p>&#8220;Esto indica claramente el problema de la cadena de suministro con dependencias de terceros cuando parece que estas dependencias nunca recibieron una actualizaci\u00f3n, incluso por problemas cr\u00edticos de seguridad&#8221;.<\/p>\n<p>Dejando a un lado la diversidad de versiones de OpenSSL, algunos de los paquetes de firmware de Lenovo y Dell utilizaron una versi\u00f3n a\u00fan m\u00e1s antigua (0.9.8l), que sali\u00f3 el 5 de noviembre de 2009. El c\u00f3digo de firmware de HP, del mismo modo, usaba una versi\u00f3n de 10 a\u00f1os. de la biblioteca (0.9.8w).<\/p>\n<p>El hecho de que el firmware del dispositivo utilice varias versiones de OpenSSL en el mismo paquete binario destaca c\u00f3mo las dependencias de c\u00f3digo de terceros pueden introducir m\u00e1s complejidades en el ecosistema de la cadena de suministro.<\/p>\n<p>Binarly se\u00f1al\u00f3 adem\u00e1s las debilidades en lo que se llama una Lista de materiales de software (<a rel=\"nofollow noopener\" href=\"https:\/\/www.ntia.gov\/SBOM\" target=\"_blank\">SBOM<\/a>) que surge como resultado de la integraci\u00f3n de m\u00f3dulos binarios compilados (tambi\u00e9n conocidos como c\u00f3digo cerrado) en el firmware.<\/p>\n<p>&#8220;Vemos una necesidad urgente de una capa adicional de validaci\u00f3n SBOM cuando se trata de c\u00f3digo compilado para validar en el nivel binario, la lista de informaci\u00f3n de dependencia de terceros que coincide con el SBOM real proporcionado por el proveedor&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>&#8220;Un enfoque de &#8216;confiar pero verificar&#8217; es la mejor manera de lidiar con las fallas de SBOM y reducir los riesgos de la cadena de suministro&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/dell-hp-and-lenovo-devices-found-using.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un an\u00e1lisis de im\u00e1genes de firmware en dispositivos de Dell, HP y Lenovo revel\u00f3 la presencia de versiones<\/p>\n","protected":false},"author":1,"featured_media":494238,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,99,11524,5718,8679,4662,4668,4667,52127,4654,4658,4659,4653,4655,87041,28580,4663,4666,4665,11116,4660],"class_list":["post-494237","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-dell","tag-dispositivos","tag-encontrados","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-lenovo","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-obsoletas","tag-openssl","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-versiones","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/494237","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=494237"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/494237\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/494238"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=494237"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=494237"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=494237"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}