Uma avaliação exaustiva de três modelos de firewall da Palo Alto Networks revelou uma série de falhas de segurança conhecidas que afetam o firmware dos dispositivos, bem como configurações de segurança mal configuradas.
"Essas não foram vulnerabilidades obscuras ou casos isolados", disse o fornecedor de segurança Eclypsium em um relatório compartilhado.
Em vez disso, eram questões muito conhecidas que não esperaríamos ver nem mesmo em um laptop de nível consumidor.
Esses problemas poderiam permitir que atacantes evitassem até as proteções de integridade mais básicas, como Secure Boot, e modificassem o firmware do dispositivo, caso fossem explorados.
A empresa disse que analisou três appliances de firewall da Palo Alto Networks, PA-3260, PA-1410 e PA-415, sendo que o primeiro alcançou oficialmente o fim das vendas em 31 de agosto de 2023.
Os outros dois modelos são plataformas de firewall totalmente suportadas.
A lista de falhas identificadas, coletivamente nomeada como PANdora's Box, é a seguinte:
-
CVE-2020-10713
, também conhecido como BootHole (Afeta PA-3260, PA-1410 e PA-415), refere-se a uma vulnerabilidade de estouro de buffer que permite a evasão do Secure Boot em sistemas Linux com o recurso habilitado
-
CVE-2022-24030
,
CVE-2021-33627
,
CVE-2021-42060
,
CVE-2021-42554
,
CVE-2021-43323
e
CVE-2021-45970
(Afeta PA-3260), que se referem a um conjunto de vulnerabilidades do modo de gerenciamento do sistema (SMM) que afetam o firmware UEFI da Insyde Software's InsydeH2O, o que poderia levar à elevação de privilégios e à evasão do Secure Boot
LogoFAIL (Afeta PA-3260), que se refere a um conjunto de vulnerabilidades críticas descobertas no código da Unified Extensible Firmware Interface (UEFI) que exploram falhas em bibliotecas de análise de imagens embutidas no firmware para contornar o Secure Boot e executar código malicioso durante a inicialização do sistema
PixieFail (Afeta PA-1410 e PA-415), que se refere a um conjunto de vulnerabilidades na pilha de protocolos de rede TCP/IP incorporada na implementação de referência da UEFI, que poderia levar à execução de código e à divulgação de informações.
Vulnerabilidade de controle de acesso flash inseguro (Afeta PA-415), que se refere a um caso de controles de acesso flash SPI mal configurados que poderiam permitir que um invasor modificasse a UEFI diretamente e burlasse outros mecanismos de segurança.
CVE-2023-1017
(Afeta PA-415), que se refere a uma vulnerabilidade de escrita fora dos limites na especificação da biblioteca de referência do Trusted Platform Module (TPM) 2.0
Evasão de chaves vazadas do Intel bootguard (Afeta PA-1410)
“Essas descobertas sublinham uma verdade crítica: até mesmo dispositivos projetados para proteger podem se tornar vetores de ataque se não forem devidamente segurados e mantidos”, disse Eclypsium.
À medida que os atores de ameaças continuam a alvejar dispositivos de segurança, as organizações devem adotar uma abordagem mais abrangente à segurança da cadeia de suprimentos.
Isso inclui avaliações rigorosas de fornecedores, atualizações regulares de firmware e monitoramento contínuo da integridade do dispositivo.
Ao entender e abordar essas vulnerabilidades ocultas, as organizações podem proteger melhor suas redes e dados contra ataques sofisticados que exploram exatamente as ferramentas destinadas a protegê-los.
Quando contatada para comentar, a Palo Alto Networks compartilhou a seguinte declaração:
A segurança de nossos clientes é nossa principal prioridade.
A Palo Alto Networks está ciente da pesquisa recentemente publicada pela Eclypsium sobre potenciais vulnerabilidades que afetam alguns de nossos produtos Next Generation Firewall.
A equipe de resposta a incidentes de segurança de produtos da Palo Alto Networks avaliou essa potencial vulnerabilidade.
Determinou que os cenários necessários para uma exploração bem-sucedida não existem no software PAN-OS atualizado em condições normais com interfaces de gerenciamento seguras implantadas de acordo com as diretrizes de melhores práticas.
A Palo Alto Networks não tem conhecimento de qualquer exploração maliciosa dessas questões.
Mantemos a qualidade e integridade de nossa tecnologia.
Embora as condições necessárias para explorar essas vulnerabilidades não estejam disponíveis para usuários ou administradores do software PAN-OS, estamos trabalhando com o fornecedor terceirizado para desenvolver as mitigações que possam ser necessárias.
Forneceremos mais atualizações e orientações aos clientes impactados à medida que se tornarem disponíveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...