被高度忽視的攻擊面——多家知名電腦廠商仍在使用過時的OpenSSL版本

近日，Binarly 研究人員發現戴爾、惠普和聯想的設備仍在使用過時版本的OpenSSL加密庫。

OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，能夠有效防止竊聽，同時確認另一端連線者的身份，廣泛被應用在互聯網的網頁服務器上。主要庫以C語言寫成，實現基本的加密功能及安全套接字協議（SSL）與傳輸層安全（TLS）協議。研究人員通過分析上述制造商使用的設備的固件圖像時發現了問題所在。

專家們分析了作為任何UEFI固件所必要的核心框架之一EDKII，該框架在CryptoPkg組件中的OpenSSL庫（OpensslLib）上有自己的子模塊和包裝器。EDK II 是一個現代化、功能豐富的跨平臺固件開發環境，適用于 UEFI 和 UEFI 平臺初始化 (PI) 規范。EDKII的主要存儲庫托管在Github上，并經常更新。但專家們在分析這些廠商的設備時，發現在其固件鏡像中使用過時版本的OpenSSL：0.9.8zb、1.0.0a 和 1.0.2j，其中最新的 OpenSSL 版本早在2018 年就已發布。專家們甚至還在部分設備中發現了 更早的、來自2009 年發布的 0.9.8l 版本。

戴爾、惠普和聯想部分設備中的 OpenSSL版本

Binarly 發布稱：“許多與安全相關的固件模塊包含明顯過時的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代碼早在8年前就已成為易受攻擊的‘不安全代碼’。通過 閱讀InfineonTpmUpdateDxe 模塊負責更新英飛凌芯片上可信平臺模塊（TPM）的固件，就可以清楚地表明了第三方依賴項的供應鏈問題。”

檢測到的戴爾、惠普和聯想設備中不同OpenSSL 版本占比

專家指出，同一個設備固件代碼往往依賴不同版本的OpenSSL。 選擇這種設計的原因是第三方代碼的供應鏈依賴于其自己的代碼庫，而設備固件開發人員通常無法使用這些代碼庫，這通常會增加供應鏈的復雜性，帶來潛在的安全風險。

報告總結道：“當涉及到編譯代碼以在二進制級別進行驗證時，我們發現迫切需要額外的 SBOM 驗證層，即與供應商提供的實際 SBOM 相匹配的第三方依賴信息列表，‘信任但要核查’方法是處理 SBOM 故障和降低供應鏈風險的最佳方法。”