Die UEFI-Firmware vieler Rechner enthält OpenSSL-Versionen, die teilweise mehr als 10 Jahre alt sind – Sicherheitslücken inklusive.
Lenovo, Dell und HP setzen in der UEFI-Firmware ihrer Geräte teilweise auf mehr als 10 Jahre alte Versionen von OpenSSL. Damit sind natürlich auch all die Sicherheitslücken mit an Bord, die in der Zwischenzeit geschlossen wurden. Das zeigt einmal mehr, welche gravierenden Probleme durch den Einsatz von Drittanbieter-Code in der Software-Lieferkette entstehen können.
Verschlüsselungskomponente der UEFI-Firmware setzt auf OpenSSL
Sicherheitsforscher haben in Firmware-Images für zahlreiche Geräte von Dell, HP und Lenovo veraltete Versionen von OpenSSL entdeckt. Infolgedessen sind die betroffenen Rechner weiterhin anfällig für Angriffe auf Sicherheitslücken der Verschlüsselungsbibliothek, die eigentlich längst geschlossen sind.
Das von den Herstellern in seiner zweiten Version eingesetzte EFI Development Kit (EDK) kommt als Teil einer UEFI-Firmware (Unified Extensible Firmware Interface) mit einer eigenen Verschlüsselungskomponente unter dem Namen „CryptoPkg“ daher. Dieses wiederum greift dem Bericht von Binarly zufolge auf Dienste des OpenSSL-Projekts zurück.
Firmware-Pakete enthalten mehr als 10 Jahre alte Verschlüsselungsbibliothek
Die Forscher entdeckten drei verschiedene OpenSSL-Versionen in Thinkpad-Geräten von Lenovo. Selbst die neueste davon, nämlich 1.0.2j, erschien 2018 und ist damit bereits vier Jahre alt. Zwei weitere Versionen, 0.9.8zb und 1.0.0a, reichen sogar bis ins Jahr 2014 zurück.
In einem Modul mit dem Namen „InfineonTpmUpdateDxe„, das für die Aktualisierung der TPM-Firmware auf einem Infineon-Chip zuständig ist, kam sogar Version 0.9.8zb vom 4. August 2014 zum Einsatz.
Doch es kommt noch besser. Denn in einigen Firmware-Paketen von Lenovo und Dell fanden die Forscher sogar Version 0.9.8l vom 5. November 2009. Und auch in Geräten von HP kamen bis zu 10 Jahre alte OpenSSL-Versionen zum Einsatz.
Mehrere OpenSSL-Versionen im selben Binärpaket als Auswüchse von Abhängigkeiten
„Dies zeigt deutlich das Problem der Lieferkette mit Abhängigkeiten von Drittanbietern, wenn es so aussieht, als ob diese Abhängigkeiten nie ein Update erhalten haben„, heißt es in dem Bericht von Binarly.
Teilweise fanden die Forscher sogar mehrere verschiedene Versionen von OpenSSL im selben Binärpaket, was die steigende Komplexität durch Abhängigkeiten von Drittanbieter-Code verdeutlicht.
Insbesondere für Lenovo ist das längst nicht die erste Herausforderung bezüglich der Sicherheit seiner UEFI-Firmware.