Kritieke kwetsbaarheden ontdekt in Palo Alto Networks firewalls: risico’s in firmware en veilig opstarten

Een recente analyse uitgevoerd door het cybersecurityCybersecurity oplossingen zijn onmisbaar in het digitale ti…-bedrijf Eclypsium heeft belangrijke kwetsbaarheden geïdentificeerd in de firmware van drie firewallmodellen van Palo Alto Networks: PA-3260, PA-1410 en PA-415. Deze lacunes, gegroepeerd onder de naam PANdora’s Box, onthullen slecht geïmplementeerde beveiligingsconfiguraties en significante risico’s op apparaten die ontworpen zijn om zakelijke netwerken te beschermen.

Geïdentificeerde tekortkomingen: een zorgwekkend beeld

Het rapport geeft aan dat deze kwetsbaarheden niet onbekend of opdoemend zijn, maar goed gedocumenteerde problemen die men niet zou moeten vinden in hoogwaardige beveiligingsapparatuur. De belangrijkste kwetsbaarheden zijn:

1. BootHole (CVE-2020-10713): Een buffer overflow kwetsbaarheid die het veilig opstarten in Linux-systemen met deze functie ingeschakeld, kan omzeilen. Het beïnvloedt alle drie de geanalyseerde modellen.
2. Kwetsbaarheden in UEFI firmware (CVE-2022-24030 en andere): In de PA-3260 laten deze fouten in de System Management Mode (SMM) toe om privileges te verhogen en veilig opstarten te omzeilen.
3. LogoFAIL: Kritieke fouten in de beeldanalysebibliotheken van de UEFI firmware die de PA-3260 beïnvloeden, waardoor de uitvoering van kwaadaardige code tijdens het opstarten van het systeem mogelijk is.
4. PixieFAIL: Lacunes in de ingebouwde TCPTCP (Transmission Control Protocol) is een communicatieprotoc…/IP stack in de UEFI firmware, aanwezig in de modellen PA-1410 en PA-415, die de uitvoering van code en informatielekkage faciliteren.
5. Onveilige flash-toegangscontrole: Onvoldoende configuratie in de SPI flash controles van de PA-415 die directe manipulatie van de UEFI firmware en omzeiling van beveiligingsmechanismen toelaat.
6. CVE-2023-1017: Een schrijfkwestie buiten grenzen in de specificatie van de Trusted Platform Module (TPM) 2.0, beïnvloedt de PA-415.
7. Omzeilen van Intel Bootguard-sleutels: Ontdekt in de PA-1410, laat deze kwetsbaarheid toe om kritieke veilige opstartbeschermingen te omzeilen.

Deze problemen kunnen de integriteit van netwerken beschermd door deze apparaten in gevaar brengen, en openen de deur voor geavanceerde aanvallen die de eigen tools die ontworpen zijn om ze te beschermen, uitbuiten.

Getroffen modellen en hun huidige status

De analyse omvatte drie firewallmodellen:

• PA-3260: Het einde van zijn verkoopcyclus bereikt in augustus 2023, maar waarschijnlijk nog steeds in gebruik bij veel organisaties.
• PA-1410 en PA-415: Zijn actieve en volledig ondersteunde platforms, gebruikt in zakelijke omgevingen om kritieke netwerken te beschermen.

Implicaties en risico’s

Eclypsium’s onderzoek benadrukt een alarmerend feit: zelfs apparaten die specifiek zijn ontworpen om systemen te beschermen, kunnen aanvalsvectoren worden als ze niet correct worden bijgewerkt en geconfigureerd. Deze lacunes stellen aanvallers in staat om essentiële functies zoals veilig opstarten te compromitteren en het firmware van het apparaat te manipuleren, wat indringerdetectie bemoeilijkt en organisaties blootstelt aan geraffineerde aanvallen.

Aanbevelingen om risico’s te beperken

Eclypsium spoorde organisaties aan een integrale aanpak te nemen om hun veiligheidsinfrastructuur te beschermen. Aanbevolen maatregelen omvatten:

• Veiligheidsaudits: Periodieke beoordelingen van apparaten en hun configuraties uitvoeren om mogelijke kwetsbaarheden te identificeren.
• Firmware-updates: Zorg ervoor dat alle apparaten de nieuwste softwareversies draaien, inclusief de beveiligingspatches.
• Continue monitoring: Implementeren van hulpmiddelen die ongeoorloofde wijzigingen in de firmware of afwijkende gedragingen in apparaten detecteren.
• Beoordeling van de toeleveringsketen: De beveiliging van leveranciers grondig evalueren voordat technologische oplossingen worden aangeschaft.

Reflectie op de veiligheid van kritieke apparaten

Deze ontdekking benadrukt een verontrustende waarheid: veiligheid is geen statische staat, maar een continu proces. Organisaties kunnen niet aannemen dat veiligheidsapparaten vrij zijn van gebreken. In plaats daarvan moeten ze worden beschouwd als een kritisch onderdeel dat constante aandacht vereist.

Naarmate kwaadwillende actoren geavanceerdere tactieken ontwikkelen, moet het beschermen van de veiligheidsinfrastructuur een strategische prioriteit worden voor bedrijven. Door proactief deze kwetsbaarheden aan te pakken, kunnen organisaties de risico’s aanzienlijk verminderen en hun gegevens en netwerken beter beschermen tegen steeds geavanceerdere bedreigingen.

via: Veiligheidsnieuws