Le firmware UEFI de nombreux ordinateurs contient des versions OpenSSL, dont certaines ont plus de 10 ans – failles de sécurité incluses.
Dans le firmware UEFI de leurs appareils, Lenovo, Dell et HP utilisent parfois des versions d’OpenSSL qui ont plus de 10 ans. Bien sûr, cela inclut également toutes les failles de sécurité qui ont été comblées entre-temps. Cela montre une fois de plus quels problèmes graves peuvent survenir de l’utilisation de code tiers dans la chaîne d’approvisionnement des logiciels.
Le composant de chiffrement du micrologiciel UEFI repose sur OpenSSL
Les chercheurs en sécurité ont découvert des versions obsolètes d’OpenSSL dans des images de firmware pour de nombreux appareils de Dell, HP et Lenovo. Par conséquent, les machines affectées sont toujours vulnérables aux attaques sur les vulnérabilités de la bibliothèque de chiffrement, fermée depuis longtemps.
Le kit de développement EFI (EDK) utilisé par les fabricants dans sa deuxième version est intégré à un firmware UEFI (Unified Extensible Firmware Interface) avec son propre composant de chiffrement appelé « CryptoPkg » Par conséquent. Selon le rapport Binarly, cela utilise à son tour les services du projet OpenSSL.
Les packages de micrologiciels contiennent une bibliothèque de chiffrement de plus de 10 ans
Les chercheurs ont découvert trois versions différentes d’OpenSSL dans les appareils Lenovo Thinkpad. Même la dernière d’entre elles, à savoir la 1.0.2j, est sortie en 2018 et a donc déjà quatre ans. Deux autres versions, 0.9.8zb et 1.0.0a, datent même de 2014.
Dans un module nommé « InfineonTpmUpdateDxe», qui se charge de mettre à jour le firmware du TPM sur une puce Infineon, même la version 0.9.8zb du 4 août 2014 a été utilisée.
Mais ça va encore mieux. Les chercheurs ont même trouvé la version 0.9.8l du 5 novembre 2009 dans certains progiciels de Lenovo et Dell.Des versions OpenSSL qui avaient jusqu’à 10 ans étaient également utilisées dans les appareils HP.
Plusieurs versions d’OpenSSL dans le même package binaire lorsque la dépendance apparaît
« Cela montre clairement le problème de la chaîne d’approvisionnement avec les dépendances tierces lorsqu’il apparaît que ces dépendances n’ont jamais reçu de mise à jour« , a déclaré le rapport Binarly.
Dans certains cas, les chercheurs ont même trouvé plusieurs versions différentes d’OpenSSL dans le même paquet binaire, ce qui illustre la complexité croissante causée par les dépendances au code tiers.
Pour Lenovo en particulier, ce n’est en aucun cas le premier défi concernant la sécurité de son firmware UEFI.
