Phát hiện Dell, HP, Lenovo đang dùng các phiên bản OpenSSL lỗi thời

www.tuoitre.vn -   30/11/2022 08:00:00 373

Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự hiện diện của các phiên bản lỗi thời của thư viện mật mã OpenSSL, nhấn mạnh rủi ro chuỗi cung ứng.

Dell, HP, Lenovo

Bộ công cụ phát triển EFI, hay còn gọi là EDK, là một triển khai nguồn mở của Giao diện phần sụn mở rộng hợp nhất (UEFI), có chức năng như một giao diện giữa hệ điều hành và phần sụn được nhúng trong phần cứng của thiết bị.

Môi trường phát triển phần sụn, ở phiên bản thứ hai (EDK II), đi kèm với gói mã hóa riêng có tên là CryptoPkg, đến lượt nó, sử dụng các dịch vụ từ dự án OpenSSL.

Theo công ty bảo mật chương trình cơ sở Binarly, hình ảnh chương trình cơ sở được liên kết với các thiết bị doanh nghiệp Lenovo Thinkpad được phát hiện sử dụng ba phiên bản OpenSSL khác nhau: 0.9.8zb, 1.0.0a và 1.0.2j, phiên bản cuối cùng được phát hành vào năm 2018.

Hơn nữa, một trong các mô-đun phần sụn có tên InfineonTpmUpdateDxe dựa trên OpenSSL phiên bản 0.9.8zb được xuất xưởng vào ngày 4 tháng 8 năm 2014.

"Mô-đun InfineonTpmUpdateDxe chịu trách nhiệm cập nhật chương trình cơ sở của Mô-đun nền tảng đáng tin cậy (TPM) trên chip Infineon," Binarly giải thích trong một bài viết kỹ thuật.

"Điều này cho thấy rõ ràng vấn đề về chuỗi cung ứng với các phần phụ thuộc của bên thứ ba khi có vẻ như các phần phụ thuộc này chưa bao giờ nhận được bản cập nhật, ngay cả đối với các vấn đề bảo mật quan trọng."

Bỏ qua sự đa dạng của các phiên bản OpenSSL, một số gói chương trình cơ sở của Lenovo và Dell đã sử dụng phiên bản thậm chí còn cũ hơn (0.9.8l), ra mắt vào ngày 5 tháng 11 năm 2009. Tương tự, mã chương trình cơ sở của HP cũng sử dụng phiên bản 10 năm tuổi của thư viện (0,9,8w).

Thực tế là chương trình cơ sở của thiết bị sử dụng nhiều phiên bản OpenSSL trong cùng một gói nhị phân làm nổi bật cách thức phụ thuộc mã của bên thứ ba có thể gây ra nhiều phức tạp hơn trong hệ sinh thái chuỗi cung ứng.

Binarly tiếp tục chỉ ra những điểm yếu trong cái được gọi là Hóa đơn tài liệu phần mềm (SBOM) phát sinh do tích hợp các mô-đun nhị phân đã biên dịch (còn gọi là nguồn đóng) trong phần sụn.

Công ty cho biết: “Chúng tôi nhận thấy nhu cầu cấp thiết về một lớp Xác thực SBOM bổ sung khi nói đến mã được biên dịch để xác thực ở cấp độ nhị phân, danh sách thông tin phụ thuộc của bên thứ ba khớp với SBOM thực tế do nhà cung cấp cung cấp”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

3 lợi ích dịch vụ bảo mật được quản lý m...

06/02/2023 08:00:00 47
Nếu một doanh nghiệp chỉ phụ thuộc vào đội ngũ CNTT để xử lý toàn bộ các vấn đề liên quan đến bảo mậ...

Dịch vụ bảo mật được quản lý: Giải pháp ...

03/02/2023 08:00:00 49
Công ty an ninh mạng toàn cầu Kaspersky mới đây đã chia sẻ bối cảnh về Managed Security Service Prov...

Kaspersky Managed Security Services đạt ...

02/02/2023 08:00:00 45
Managed Security Services (MSS – Dịch vụ bảo mật được quản lý) toàn diện của Kaspersky vừa được công...

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 100
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 103
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

ChatGPT có thể giúp hacker lập trình ra ...

27/01/2023 12:00:00 57
Thay vì phải tốn công sức tìm kiếm thông tin trên các diễn đàn hay thư viện dành cho nhà phát triển ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ