Se descubre que los firewalls de Palo Alto son vulnerables a ataques de firmware y omisiones de arranque seguro

Una evaluación exhaustiva de tres modelos de firewall de Palo Alto Networks ha descubierto una serie de fallas de seguridad conocidas que afectan el firmware de los dispositivos, así como funciones de seguridad mal configuradas.

«No se trataba de vulnerabilidades ocultas ni de casos aislados», dijo el proveedor de seguridad Eclypsium en un informe compartido con The Hacker News.

«En cambio, se trataba de problemas muy conocidos que no esperábamos ver ni siquiera en un portátil de consumo. Estos problemas podrían permitir a los atacantes evadir incluso las protecciones de integridad más básicas, como el arranque seguro, y modificar el firmware del dispositivo si se los explota».

La compañía dijo que analizó tres dispositivos de firewall de Palo Alto Networks, PA-3260, PA-1410 y PA-415, el primero de los cuales llegó oficialmente al final de su período de venta el 31 de agosto de 2023. Los otros dos modelos son plataformas de firewall totalmente compatibles.

La lista de fallas identificadas, denominadas colectivamente PANdora’s Box , es la siguiente:

CVE-2020-10713, también conocida como BootHole (afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de desbordamiento de búfer que permite omitir el arranque seguro en sistemas Linux con la función habilitada.
CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323 y CVE-2021-45970 (afecta a PA-3260), que se refieren a un conjunto de vulnerabilidades del modo de administración del sistema (SMM) que afectan al firmware UEFI InsydeH2O de Insyde Software y que podrían provocar una escalada de privilegios y una omisión del arranque seguro.
LogoFAIL (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades críticas descubiertas en el código de la Interfaz de firmware extensible unificada (UEFI) que explotan fallas en las bibliotecas de análisis de imágenes integradas en el firmware para eludir el arranque seguro y ejecutar código malicioso durante el inicio del sistema.
PixieFail (afecta a PA-1410 y PA-415), que se refiere a un conjunto de vulnerabilidades en la pila de protocolos de red TCP/IP incorporada en la implementación de referencia UEFI que podría provocar la ejecución de código y la divulgación de información.
Vulnerabilidad de control de acceso flash inseguro (afecta a PA-415), que se refiere a un caso de controles de acceso flash SPI mal configurados que podrían permitir a un atacante modificar UEFI directamente y eludir otros mecanismos de seguridad
CVE-2023-1017 (afecta a PA-415), que se refiere a una vulnerabilidad de escritura fuera de límites en la especificación de la biblioteca de referencia del Módulo de plataforma segura (TPM) 2.0
Omisión de claves filtradas de Intel Bootguard (afecta a PA-1410)

«Estos hallazgos ponen de relieve una verdad fundamental: incluso los dispositivos diseñados para proteger pueden convertirse en vectores de ataques si no se protegen y mantienen adecuadamente», afirmó Eclypsium. «A medida que los actores de amenazas continúan atacando los dispositivos de seguridad, las organizaciones deben adoptar un enfoque más integral para la seguridad de la cadena de suministro».

«Esto incluye evaluaciones rigurosas de los proveedores, actualizaciones periódicas de firmware y monitoreo continuo de la integridad de los dispositivos. Al comprender y abordar estas vulnerabilidades ocultas, las organizaciones pueden proteger mejor sus redes y datos de ataques sofisticados que explotan las mismas herramientas diseñadas para protegerlos».

Fuente y redacción: thehackernews.com

Vulnerabilidades críticas en Citrix ADC y Citrix Gateway (Parcha!)

SAD DNS: Nuevo ataque de envenenamiento de la caché de DNS.

Los piratas informáticos chinos tenían acceso a una herramienta de piratería de EE. UU. Años antes de que se filtrara en línea.