Dell, HP ve Lenovo aygıtları arasında ürün yazılımı görüntülerinin analizi, tedarik zinciri riskinin altını çizerek OpenSSL şifreleme kitaplığının eski sürümlerinin varlığını ortaya çıkardı.
EFI Geliştirme Kiti, diğer adıyla EDKBirleşik Genişletilebilir Ürün Yazılımı Arabiriminin açık kaynaklı bir uygulamasıdır (UEFI), işletim sistemi ile cihazın donanımına gömülü üretici yazılımı arasında bir arabirim görevi görür.
İkinci yinelemesinde (EDK II) olan üretici yazılımı geliştirme ortamı, adı verilen kendi şifreleme paketiyle birlikte gelir. Kripto Paketi bu da OpenSSL projesindeki hizmetlerden yararlanır.
Üretici yazılımı güvenlik şirketi Binarly’ye göre, Lenovo Thinkpad kurumsal cihazlarıyla ilişkili ürün yazılımı görüntüsünün, sonuncusu 2018’de piyasaya sürülen üç farklı OpenSSL sürümü kullandığı bulundu: 0.9.8zb, 1.0.0a ve 1.0.2j.
Dahası, InfineonTpmUpdateDxe adlı aygıt yazılımı modüllerinden biri, 4 Ağustos 2014’te piyasaya sürülen OpenSSL sürüm 0.9.8zb’ye dayanıyordu.
“InfineonTpmUpdateDxe modülü, Güvenilir Platform Modülünün sabit yazılımını güncellemekten sorumludur (TPM) Infineon çipinde,” Binarly açıkladı geçen hafta teknik bir yazıda.
“Bu bağımlılıklar, kritik güvenlik sorunları için bile hiçbir güncelleme almamış gibi göründüğünde, üçüncü taraf bağımlılıklarla ilgili tedarik zinciri sorununu açıkça gösteriyor.”
OpenSSL sürümlerinin çeşitliliği bir yana, Lenovo ve Dell’in bazı üretici yazılımı paketleri, 5 Kasım 2009’da çıkan daha da eski bir sürümü (0.9.8l) kullanıyordu. HP’nin ürün yazılımı kodu da aynı şekilde 10 yıllık bir sürümü kullanıyordu. kitaplığın (0.9.8w).
Cihaz belleniminin aynı ikili pakette birden fazla OpenSSL sürümü kullanması, üçüncü taraf kod bağımlılıklarının tedarik zinciri ekosisteminde nasıl daha fazla karmaşıklığa yol açabileceğini vurgular.
Binarly ayrıca Yazılım Malzeme Listesi (SBOM) derlenmiş ikili modüllerin (kapalı kaynak olarak da bilinir) bellenime entegre edilmesinin bir sonucu olarak ortaya çıkar.
Şirket, “Satıcı tarafından sağlanan gerçek SBOM ile eşleşen üçüncü taraf bağımlılık bilgilerinin listesi olan ikili düzeyde doğrulamak için derlenmiş kod söz konusu olduğunda, ekstra bir SBOM Doğrulama katmanına acil bir ihtiyaç görüyoruz” dedi.
“‘Güven ama doğrula’ yaklaşımı, SBOM başarısızlıklarıyla başa çıkmanın ve tedarik zinciri risklerini azaltmanın en iyi yoludur.”
