{"id":275530,"date":"2022-11-29T05:56:16","date_gmt":"2022-11-29T04:56:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275530"},"modified":"2022-11-29T10:49:04","modified_gmt":"2022-11-29T09:49:04","slug":"dell-hp-lenovo-nutzen-veraltete-openssl-versionen-im-uefi","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/29\/dell-hp-lenovo-nutzen-veraltete-openssl-versionen-im-uefi\/","title":{"rendered":"Dell, HP, Lenovo nutzen veraltete OpenSSL-Versionen im UEFI"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Eine Firmware-Analyse durch die Sicherheitsfirma Binarly hat aufgedeckt, dass Ger\u00e4te von Dell, HP und Lenovo veraltete Versionen der OpenSSL-Verschl\u00fcsselungsbibliothek in ihren UEFI-Implementierungen\u00a0 verwenden. Das stellt ein Risiko dar, da die Verschl\u00fcsselung aufgebrochen und die Lieferkette f\u00fcr Updates kompromittiert werden k\u00f6nnte. Die veralteten OpenSSL-Versionen kommt durch ein EFI Development Kit (EDK) auf diese Maschinen. Aktuell scheint es aber keine L\u00f6sung zu geben, wie die Ger\u00e4tehersteller das Problem in den Griff bekommen, dass selbst in aktualisierter UEFI-Firmware bis zu drei veraltete (teilweise aus 2014 stammende) OpenSSL-Versionen verwendet werden.<\/p>\n

<\/p>\n

OpenSSL und die Schwachstellen<\/h2>\n

\"\"OpenSSL ist eine weit verbreitete Code-Bibliothek, die eine sichere Kommunikation \u00fcber das Internet erm\u00f6glicht. OpenSSL umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschl\u00fcsselungen sowie das Programm openssl f\u00fcr die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten (siehe<\/a>). Anfang November 2022 gab es eine Sicherheitswarnung zu zwei Schwachstellen in dieser Bibliothek und ein Sicherheitsupdate zum OpenSSL 3.0.7 (siehe OpenSSL 3.0.7 mit Sicherheitsfix verf\u00fcgbar<\/a>).<\/p>\n

Es sei aber angemerkt, dass diese Schwachstellen nur OpenSSL 3.0.0 betrafen, \u00e4ltere Versionen wie OpenSSL 1.0.2 und 1.1.1 sind von der obigen Sicherheitsproblematik nicht betroffen.<\/p>\n

Nutzen Ger\u00e4te OpenSSL?<\/h2>\n

Die spannende Frage ist nun, wo OpenSSL in Ger\u00e4ten eingesetzt wird und ob es da ggf. ein Problem mit veralteten Bibliotheksversionen geben k\u00f6nnte. Denn es gibt ein EFI Development Kit (EDK) als Open-Source-Implementierung des Unified Extensible Firmware Interface (UEFI. Dieses wird von Ger\u00e4teherstellern eingesetzt, um als Schnittstelle zwischen dem Betriebssystem und der in der Ger\u00e4tehardware eingebetteten Firmware zu fungieren. Nun ist bekannt, dass die Version 2 (EDK II) des EFI Development Kit die OpenSSL-Bibliothek im Verschl\u00fcsselungspaket CryptoPkg verwendet.<\/p>\n

Das war der Punkt, an dem sich die Sicherheitsfirma Binarly die Frage stellte, ob die UEFI-Implementierungen g\u00e4ngiger Ger\u00e4tehersteller wie Dell, HP und Lenovo m\u00f6glicherweise veraltete OpenSSL-Bibliotheken in der Firmware verwenden. Das Sicherheitsteam wollte wissen, wie die Update-Situation bei der UEFI-Firmware ausschaut, und wie weit verbreitet die Verwendung von OpenSSL-Versionen im Firmware-Kontext ist. Denn Microsoft hat im Defense Report 2022 ausgef\u00fchrt, dass 32% der analysierten Firmware Images mindestens zehn kritische Schwachstellen aufweisen.<\/p>\n

Alte OpenSSL-Versionen gefunden<\/h2>\n

Eine Analyse von Firmware-Images f\u00fcr Ger\u00e4te von Dell, HP und Lenovo hat das Vorhandensein veralteter Versionen der OpenSSL-Verschl\u00fcsselungsbibliothek aufgedeckt, was ein Risiko in der Lieferkette darstellt. In diesem Dokument<\/a> gibt an, dass Lenovo Thinkpad Enterprise-Ger\u00e4te in demselben Firmware-Bin\u00e4rpaket mindestens drei verschiedene Versionen von OpenSSL verwenden.<\/p>\n

\"OpenSSL
\nOpenSSL-Versionen in Lenovo Firmware<\/p>\n

Obige Tabelle zeigt die verwendeten OpenSSL-Versionen 1.0.0a (2014), 1.0.2j (2018) und\u00a0 0.9.8zb (2014), die in diversen UEFI-Modulen gefunden wurden. Die j\u00fcngste OpenSSL-Version 1.0.2j wurde 2018 ver\u00f6ffentlicht und ist damit vier Jahre alt. Die im Infinion TPM-Update-Modul (f\u00fcr die Installation von Updates im TPM-Chip) benutzte OpenSSL-Version stammt sogar aus dem Jahr 2014 und weist bekannte Schwachstellen auf.<\/p>\n

Die Entdeckung zeigte bereits zweierlei: Einmal hat die Firmware dieser untersuchten Lenovo-Ger\u00e4te seit vielen Jahren keine Updates der OpenSSL-Bibliotheken durch den Hersteller erfahren. Und in der Firmware schlummern gro\u00dfe Risiken f\u00fcr die Lieferkette, wenn die Update-Module f\u00fcr das TPM-Modul seit acht Jahren bekannte Schwachstellen aufweisen. Die aktuellste Version von OpenSSL, die auf Lenovo-Unternehmensger\u00e4ten verwendet wird, stammt von Sommer 2021.<\/p>\n

\"OpenSSLversions
\nOpenSSL-Versions benutzt von Lenovo, Dell, HP<\/p>\n

Die Sicherheitsforscher haben dann auch Ger\u00e4te von Dell und HP im Hinblick auf deren UEFI-Firmware und die verwendeten OpenSSL-Versionen analysiert. Die in diesem Artikel<\/a> ver\u00f6ffentlichte, obige Tabelle zeigt, dass auch dort veraltete OpenSSL-Bibliotheken zum Einsatz kommen.<\/p>\n

Aus der Binarly OpenSSL-Datenstudie geht hervor, dass Firmware h\u00e4ufig mehrere Versionen von OpenSSL verwendet. Der Grund daf\u00fcr ist laut Binarly, dass die Lieferkette f\u00fcr den Code von Drittanbietern von deren eigener Codebasis abh\u00e4ngt. Diese Codebasis steht den Entwicklern von Ger\u00e4te-Firmware oft nicht zur Verf\u00fcgung. Dies f\u00fchrt zu einer zus\u00e4tzlichen Ebene der Komplexit\u00e4t der Lieferkette. Die meisten OpenSSL-Abh\u00e4ngigkeiten sind statisch als Bibliotheken mit bestimmten Firmware-Modulen verkn\u00fcpft, die zur Kompilierzeit Abh\u00e4ngigkeiten schaffen. Diese sind ohne tiefgreifende Code-Analyse-F\u00e4higkeiten nur schwer zu erkennen. Das Problem der Abh\u00e4ngigkeiten von Drittanbieter-Code auf der Ebene des kompilierten Codes ist unter diesem Blickwinkel nicht einfach zu l\u00f6sen.<\/p>\n

Binarly beschreibt in diesem Artikel<\/a> zwar den derzeitigen Industrieansatz Hashes f\u00fcr die einzelnen Module zu generieren, um sie mit den jeweiligen Versionsnummern zu verbinden und so die Liste der Abh\u00e4ngigkeiten auf SBOM-Ebene zu erstellen. Die Feststellung ist aber, dass dieser Ansatz zwar bei Open-Source-Projekten funktioniert (dort ist der Code ja einsehbar). Aber bei Closed-Source-\u00d6kosystemen wird der Ansatz immer scheitern. Der Hash liefert Integrit\u00e4tsinformationen, aber er garantiert nicht den Inhalt und die Vollst\u00e4ndigkeit der SBOM f\u00fcr Closed-Source-Projekte.<\/p>\n

Binarly sieht einen dringenden Bedarf f\u00fcr eine zus\u00e4tzliche Schicht der SBOM-Validierung wenn es um kompilierten Code geht, um auf der Bin\u00e4rebene die Liste der Abh\u00e4ngigkeitsinformationen von Drittanbietern zu validieren, die mit der vom Hersteller bereitgestellten SBOM \u00fcbereinstimmen. (via<\/a>)<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nHinweis: Patch f\u00fcr OpenSSL Schwachstelle zum 1. Nov. 2022<\/a>
\nnginx for Windows von OpenSSL Privilegien-Schwachstelle betroffen<\/a>
\nOpenSSL 3.0.7 mit Sicherheitsfix verf\u00fcgbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eine Firmware-Analyse durch die Sicherheitsfirma Binarly hat aufgedeckt, dass Ger\u00e4te von Dell, HP und Lenovo veraltete Versionen der OpenSSL-Verschl\u00fcsselungsbibliothek in ihren UEFI-Implementierungen\u00a0 verwenden. Das stellt ein Risiko dar, da die Verschl\u00fcsselung aufgebrochen und die Lieferkette f\u00fcr Updates kompromittiert werden k\u00f6nnte. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,7459],"tags":[3081,4328],"class_list":["post-275530","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-software","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275530"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275530\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}