Dell/HP/Lenovo デバイスの問題:UEFI 実装における古い OpenSSL の使用が判明

Dell, HP, and Lenovo Devices Found Using Outdated OpenSSL Versions

2022/11/25 TheHackerNews — Dell/HP/Lenovo のデバイスのファームウェア・イメージを分析した結果、古いバージョンの OpenSSL 暗号ライブラリの存在が明らかになり、サプライチェーン・リスクが浮き彫りになっている。EFI Development Kit (EDK) は、OS とデバイスのハードウェアに組み込まれたファームウェア間のインターフェースとして機能する、UEFI (Unified Extensible Firmware Interface) のオープンソース実装である。EDK II のファームウェア開発環境には、CryptoPkg という独自の暗号パッケージがあり、OpenSSL プロジェクトのサービスを利用できる。


ファームウェア・セキュリティ企業の Binarly によると、Lenovo Thinkpad エンタープライズ・デバイスに関連するファームウェア・イメージは、3種類のバージョン (0.9.8zb/1.0.0a/1.0.2j) の OpenSSL を使用しており、最新のものは 2018 年にリリースされていることが確認されたそうだ。

さらに、InfineonTpmUpdateDxe という名前のファームウェア・モジュールは、2014年8月4日にリリースされた OpenSSL バージョン 0.9.8zb に依存していたという。


Binarly は先週の技術レポートで、「InfineonTpmUpdateDxe モジュールは、Infineon チップ上の TPM (Trusted Platform Module) のファームウェアを更新するものである。つまり、サードパーティの依存関係が、重要なセキュリティ問題に対するアップデートを受けていないように見える場合には、そのサプライチェーンに問題があることを明示している」と説明している。

OpenSSL のバージョンの多様性はさておき、Lenovo/Dell のファームウェア・パッケージのいくつかは、2009年11月5日にリリースされた、さらに古いバージョン 0.9.8l を利用していた。同様に、HP のファームウェア・コードも、10年前のバージョンのライブラリ 0.9.8w を使用していた。

それらのデバイスのファームウェアが、同じバイナリ・パッケージ内で多様なバージョンの OpenSSL を使用するという、サードパーティ・コードの依存関係により、サプライチェーンのエコシステムがさらに複雑になるという事実を浮き彫りにしている。

Binarly はさらに、コンパイルされたバイナリモジュール (別名クローズドソース) をファームウェアに統合した結果として生じる、SBOM (Software Bill of Materials) の弱点を指摘している。

同社は、「我々は、バイナリレベルで検証するコンパイルされたコードについては、サードパーティに関する依存情報のリストと、ベンダーから提供される実際の SBOM との一致を検証するために、SBOM Validation に追加レイヤーが急務であると見ている。trust-but-verify アプローチは、SBOM の不具合に対処し、サプライチェーンのリスクを低減するための最良の方法だ」と述べている。

OpenSSL 3.x の脆弱性に関しては、 11月1日の「OpenSSL の脆弱性 CVE-2022-3602/CVE-2022-3786 が FIX:深刻だが緊急性は低い」にあるように、それほど心配する事態にはならなかったというトピックがありました。ただ、この記事で触れられている UEFI の OpenSSL のバージョンは、たとえば Lenovo のケースでは 0.9.8zb/1.0.0a/1.0.2j といった古いものであり、 しかも、それらが混在しているという問題があるようです。ファームウェアという、アップデートが難しいレイヤでの問題であり、SBOM にも影響するようです。よろしければ、UEFI で検索も、ご利用ください。

%d bloggers like this: