Algunos ordenadores de los fabricantes más importantes de PC pueden resultar susceptibles a ataques al no tener cierto software actualizado.
Un equipo de investigadores de Binarly ha descubierto que hay dispositivos de estas tres marcas que usan versiones obsoletas de las biblioteca criptográfica OpenSSL.
Esta biblioteca de software permite comunicaciones seguras a través de redes informáticas para impedir escuchas o la necesidad de identificar a la parte en el otro extremo. OpenSSL contiene una implementación de código abierto de los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS).
Los investigadores descubrieron el problema al analizar las imágenes de firmware de los dispositivos usados de los tres fabricantes. Hicieron el hallazgo al analizar uno de los marcos principales que EDKII usa como parte de cualquier firmware UEFI que cuenta con su propio submódulo envoltorio sobre la biblioteca OpenSSL en el componente CryptoPkg.
Algunas versiones se remontan a más de una década
Los autores de la investigación en primer lugar analizaron los equipos empresariales Lenovo Thinkpad, encontrando que se servían de distintas versiones de OpenSSL en la imagen del firmware. La versión más reciente se había lanzado en 2018.
La cosa es incluso peor en el caso de ciertos ordenadores de Dell y Lenovo, ya que están basados en una versión de la biblioteca criptográfica que dataría de 2009. Si algo tienen en común las tres marcas, es que en determinados dispositivos utilizan la versión 0.9.8w, del año 2012.
“Muchos de los módulos de firmware relacionados con la seguridad contienen versiones significativamente obsoletas de OpenSSL. Algunos de ellos, como InfineonTpmUpdateDxe, contienen código que se sabe que es vulnerable durante al menos ocho años”, puede leerse el informe publicado por Binarly.
“El módulo InfineonTpmUpdateDxe es responsable de actualizar el firmware del Módulo de plataforma segura (TPM) en el chip Infineon. Esto indica claramente el problema de la cadena de suministro con dependencias de terceros cuando parece que estas dependencias nunca recibieron una actualización, incluso por problemas críticos de seguridad”, añaden.
Para los investigadores el problema es que "la mayoría de las dependencias de OpenSSL están vinculadas estáticamente como bibliotecas a módulos de firmware específicos que crean dependencias en tiempo de compilación que son difíciles de identificar sin capacidades de análisis de código profundo”. continúa el informe. "Históricamente, el problema dentro de las dependencias de código de terceros no es un problema fácil de resolver a nivel de código compilado"