Een uitgebreide evaluatie van drie firewallmodellen van Palo Alto Networks heeft een groot aantal bekende beveiligingsfouten blootgelegd die van invloed zijn op de firmware van de apparaten, evenals verkeerd geconfigureerde beveiligingsfuncties.
“Dit waren geen obscure, hoekige kwetsbaarheden”, zei beveiligingsleverancier Eclypsium in een rapport gedeeld met The Hacker News.
“In plaats daarvan waren dit zeer bekende problemen die we zelfs niet op een consumentenlaptop zouden verwachten. Deze problemen zouden ervoor kunnen zorgen dat aanvallers zelfs de meest elementaire integriteitsbeschermingen, zoals Secure Boot, kunnen omzeilen en de firmware van apparaten kunnen aanpassen als ze worden misbruikt.” .”
Het bedrijf zei dat het drie firewall-apparaten van Palo Alto Networks, PA-3260, PA-1410 en PA-415, heeft geanalyseerd, waarvan de eerste officieel het einde van de verkoop bereikte op 31 augustus 2023. De andere twee modellen worden volledig ondersteund firewall-platforms.
De lijst met geïdentificeerde gebreken, gezamenlijk genoemd PANDora’s Boxis als volgt –
- CVE-2020-10713 ook bekend als BootHole (beïnvloedt PA-3260, PA-1410 en PA-415), verwijst naar een bufferoverflow-kwetsbaarheid die een Secure Boot-bypass mogelijk maakt op Linux-systemen waarop de functie is ingeschakeld
- CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323 en CVE-2021-45970 (Beïnvloedt PA-3260), wat verwijst naar een reeks kwetsbaarheden in de System Management Mode (SMM) die van invloed zijn op de InsydeH2O UEFI-firmware van Insyde Software en die kunnen leiden tot escalatie van bevoegdheden en het omzeilen van Secure Boot
- LogoFAIL (Beïnvloedt PA-3260), wat verwijst naar een reeks kritieke kwetsbaarheden die zijn ontdekt in de Unified Extensible Firmware Interface (UEFI)-code en die misbruik maken van fouten in beeldparseringsbibliotheken die in de firmware zijn ingebed om Secure Boot te omzeilen en kwaadaardige code uit te voeren tijdens het opstarten van het systeem
- PixieFail (Beïnvloedt PA-1410 en PA-415), wat verwijst naar een reeks kwetsbaarheden in de TCP/IP-netwerkprotocolstack die is opgenomen in de UEFI-referentie-implementatie en die zou kunnen leiden tot code-uitvoering en openbaarmaking van informatie
- Onveilige kwetsbaarheid voor Flash-toegangscontrole (Beïnvloedt PA-415), wat verwijst naar een geval van verkeerd geconfigureerde SPI-flashtoegangscontroles waardoor een aanvaller UEFI rechtstreeks kan wijzigen en andere beveiligingsmechanismen kan omzeilen
- CVE-2023-1017 (Beïnvloedt PA-415), wat verwijst naar een schrijfkwetsbaarheid buiten het bereik in de Trusted Platform Module (TPM) 2.0-referentiebibliotheekspecificatie
- Intel bootguard gelekte sleutels bypass (Beïnvloedt PA-1410)
“Deze bevindingen onderstrepen een cruciale waarheid: zelfs apparaten die zijn ontworpen om te beschermen kunnen aanvalsvectoren worden als ze niet goed worden beveiligd en onderhouden”, aldus Eclypsium. “Terwijl bedreigingsactoren zich blijven richten op beveiligingsapparatuur, moeten organisaties een meer alomvattende benadering van de beveiliging van de toeleveringsketen aannemen.”
“Dit omvat rigoureuze beoordelingen van leveranciers, regelmatige firmware-updates en voortdurende monitoring van de apparaatintegriteit. Door deze verborgen kwetsbaarheden te begrijpen en aan te pakken, kunnen organisaties hun netwerken en gegevens beter beschermen tegen geavanceerde aanvallen die misbruik maken van de tools die bedoeld zijn om ze te beschermen.”
