Una evaluación exhaustiva de tres modelos de firewall de Palo Alto Networks ha
descubierto una serie de fallas de seguridad conocidas que afectan el firmware
de los dispositivos, así como funciones de seguridad mal configuradas.
«No se trataba de vulnerabilidades ocultas ni de casos excepcionales»,
afirmó el proveedor de seguridad Eclypsium en un informe.
«En cambio, se trataba de problemas muy conocidos que no esperaríamos ver
ni siquiera en una computadora portátil de consumo. Estos problemas podrían
permitir a los atacantes evadir incluso las protecciones de integridad más
básicas, como el arranque seguro, y modificar el firmware del dispositivo si
se los explota».
La empresa afirmó que analizó tres dispositivos de firewall de Palo Alto
Networks, PA-3260, PA-1410 y PA-415, el primero de los cuales
llegó oficialmente al final de su período de comercialización
el 31 de agosto de 2023. Los otros dos modelos son plataformas de firewall
totalmente compatibles.
La lista de fallas identificadas, denominadas colectivamente PANdora’s Box, es
la siguiente:
-
CVE-2020-10713, también conocida como
BootHole
(afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de
desbordamiento de búfer que permite una omisión de arranque seguro en
sistemas Linux con la función habilitada. -
CVE-2022-24030 (7.5), CVE-2021-33627 (8.2), CVE-2021-42060 (8.2),
CVE-2021-42554 (8.2), CVE-2021-43323 (8.2), y CVE-2021-45970 (8.2) (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades
del modo de administración del sistema (SMM) que afectan al firmware UEFI
InsydeH2O de Insyde Software que podrían provocar una escaladmiento de
privilegios y una omisión de arranque seguro. -
LogoFAIL
(afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades
críticas descubiertas en el código de la Interfaz de Firmware Extensible
Unificada (UEFI) que explotan fallas en las bibliotecas de análisis de
imágenes integradas en el firmware para eludir el Arranque Seguro y ejecutar
código malicioso durante el inicio del sistema. -
PixieFail
(Afecta a PA-1410 y PA-415), que se refiere a un conjunto de
vulnerabilidades en la pila de protocolos de red TCP/IP incorporada en la
implementación de referencia de UEFI que podría conducir a la ejecución de
código y la divulgación de información. -
Vulnerabilidad de control de acceso flash inseguro
(Afecta a PA-415), que se refiere a un caso de controles de acceso flash SPI
mal configurados que podrían permitir a un atacante modificar UEFI
directamente y eludir otros mecanismos de seguridad. -
CVE-2023-1017
(Afecta a PA-415), que se refiere a una vulnerabilidad de escritura fuera de
límites en la especificación de la biblioteca de referencia del Módulo de
Plataforma Confiable (TPM) 2.0. -
Elusión de claves filtradas de Intel Bootguard
(Afecta a PA-1410)
«Estos hallazgos ponen de relieve una verdad fundamental: incluso los
dispositivos diseñados para proteger pueden convertirse en vectores de
ataque si no se protegen y mantienen adecuadamente», afirmó Eclypsium.
«A medida que los actores de amenazas continúan atacando los dispositivos
de seguridad, las organizaciones deben adoptar un enfoque más integral para
la seguridad de la cadena de suministro».
Esto incluye evaluaciones rigurosas de los proveedores, actualizaciones
periódicas de firmware y monitoreo continuo de la integridad de los
dispositivos. Al comprender y abordar estas vulnerabilidades ocultas, las
organizaciones pueden proteger mejor sus redes y datos de ataques sofisticados
que explotan las mismas herramientas diseñadas para protegerlos.
Fuente:
THN