对 Palo Alto Networks 的三种防火墙型号进行了详尽评估,发现许多已知的安全漏洞会影响设备的固件以及配置错误的安全功能。
“这些并不是晦涩难懂的极端漏洞,”安全供应商 Eclypsium 在与 The Hacker News 分享的一份报告中表示。
“相反,这些都是非常众所周知的问题,我们甚至不会期望在消费级笔记本电脑上看到。这些问题可能允许攻击者逃避最基本的完整性保护,例如安全启动,并在被利用时修改设备固件。
该公司表示,它分析了 Palo Alto Networks 的三款防火墙设备,即 PA-3260、PA-1410 和 PA-415,其中第一台已于 2023 年 8 月 31 日正式终止销售。其他两种型号是完全受支持的防火墙平台。
已识别的缺陷列表(统称为 PANdora's Box)如下:
- CVE-2020-10713 又名 BootHole(影响 PA-3260、PA-1410 和 PA-415),指的是一个缓冲区溢出漏洞,允许在启用该功能的 Linux 系统上绕过安全启动
- CVE-2022-24030、CVE-2021-33627、CVE-2021-42060、CVE-2021-42554、CVE-2021-43323 和 CVE-2021-45970(影响 PA-3260),指的是一组影响系微 InsydeH2O UEFI 固件的系统管理模式 (SMM) 漏洞,这些漏洞可能导致权限提升和安全启动绕过
- LogoFAIL(影响 PA-3260),指的是在统一可扩展固件接口 (UEFI) 代码中发现的一组关键漏洞,这些漏洞利用固件中嵌入的图像解析库中的缺陷来绕过安全启动并在系统启动期间执行恶意代码
- PixieFail(影响 PA-1410 和 PA-415),指的是 UEFI 参考实现中并入的 TCP/IP 网络协议堆栈中的一组漏洞,这些漏洞可能导致代码执行和信息泄露
- 不安全的 Flash 访问控制漏洞(影响 PA-415),指的是 SPI Flash 访问控制配置错误的情况,可能允许攻击者直接修改 UEFI 并绕过其他安全机制
- CVE-2023-1017(影响 PA-415),指的是可信平台模块 (TPM) 2.0 参考库规范中的越界写入漏洞
- 绕过 Intel bootguard 泄漏密钥(影响 PA-1410)
“这些发现强调了一个关键事实:如果保护和维护不当,即使是旨在保护的设备也可能成为攻击媒介,”Eclypsium 说。随着威胁行为者继续以安全设备为目标,组织必须采用更全面的供应链安全方法。
“这包括严格的供应商评估、定期固件更新和持续的设备完整性监控。通过了解和解决这些隐藏的漏洞,组织可以更好地保护其网络和数据免受复杂的攻击,这些攻击利用了旨在保护它们的工具。
稿源:The Hacker News 翻译:游侠安全网
