Una evaluación exhaustiva de tres modelos de firewall de Palo Alto Networks ha descubierto una serie de fallas de seguridad conocidas que afectan el firmware de los dispositivos, así como funciones de seguridad mal configuradas.
“No se trataba de vulnerabilidades ocultas ni de casos excepcionales”, afirmó el proveedor de seguridad Eclypsium en un informe. “En cambio, se trataba de problemas muy conocidos que no esperaríamos ver ni siquiera en una computadora portátil de consumo. Estos problemas podrían permitir a los atacantes evadir incluso las protecciones de integridad más básicas, como el arranque seguro, y modificar el firmware del dispositivo si se los explota”.
La empresa afirmó que analizó tres dispositivos de firewall de Palo Alto Networks, PA-3260, PA-1410 y PA-415, el primero de los cuales llegó oficialmente al final de su período de comercialización el 31 de agosto de 2023. Los otros dos modelos son plataformas de firewall totalmente compatibles.
La lista de fallas identificadas, denominadas colectivamente PANdora’s Box, es la siguiente:
- CVE-2020-10713, también conocida como BootHole (afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de desbordamiento de búfer que permite una omisión de arranque seguro en sistemas Linux con la función habilitada.
- CVE-2022-24030 (7.5), CVE-2021-33627 (8.2), CVE-2021-42060 (8.2), CVE-2021-42554 (8.2), CVE-2021-43323 (8.2), y CVE-2021-45970 (8.2) (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades del modo de administración del sistema (SMM) que afectan al firmware UEFI InsydeH2O de Insyde Software que podrían provocar una escaladmiento de privilegios y una omisión de arranque seguro.
- LogoFAIL (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades críticas descubiertas en el código de la Interfaz de Firmware Extensible Unificada (UEFI) que explotan fallas en las bibliotecas de análisis de imágenes integradas en el firmware para eludir el Arranque Seguro y ejecutar código malicioso durante el inicio del sistema.
- PixieFail (Afecta a PA-1410 y PA-415), que se refiere a un conjunto de vulnerabilidades en la pila de protocolos de red TCP/IP incorporada en la implementación de referencia de UEFI que podría conducir a la ejecución de código y la divulgación de información.
- Vulnerabilidad de control de acceso flash inseguro (Afecta a PA-415), que se refiere a un caso de controles de acceso flash SPI mal configurados que podrían permitir a un atacante modificar UEFI directamente y eludir otros mecanismos de seguridad.
- CVE-2023-1017 (Afecta a PA-415), que se refiere a una vulnerabilidad de escritura fuera de límites en la especificación de la biblioteca de referencia del Módulo de Plataforma Confiable (TPM) 2.0.
- Elusión de claves filtradas de Intel Bootguard (Afecta a PA-1410)
“Estos hallazgos ponen de relieve una verdad fundamental: incluso los dispositivos diseñados para proteger pueden convertirse en vectores de ataque si no se protegen y mantienen adecuadamente”, afirmó Eclypsium. “A medida que los actores de amenazas continúan atacando los dispositivos de seguridad, las organizaciones deben adoptar un enfoque más integral para la seguridad de la cadena de suministro”.
Esto incluye evaluaciones rigurosas de los proveedores, actualizaciones periódicas de firmware y monitoreo continuo de la integridad de los dispositivos. Al comprender y abordar estas vulnerabilidades ocultas, las organizaciones pueden proteger mejor sus redes y datos de ataques sofisticados que explotan las mismas herramientas diseñadas para protegerlos.
Fuente: THN
