یک ارزیابی امنیتی جامع توسط Eclypsium از سه مدل فایروال Palo Alto Networks، منجر به کشف آسیب پذیری مختلف شده است که بر فریمور دستگاهها تأثیر میگذارند. این آسیب پذیریها و نقصهای امنیتی میتوانند به مهاجمان اجازه دهند تا ابتداییترین حفاظتهای یکپارچگی مانند Secure Boot(بوت امن) را دور بزنند و فریمور دستگاه را تغییر دهند.
Eclypsium اذعان داشت که در مطالعات خود، سه مدل فایروال PA-3260، PA-1410، و PA-415 را مورد بررسی قرار داده است که اولین آنها به طور رسمی در 31 آگوست 2023 به پایان فروش خود رسید اما دو مدل دیگر به طور کامل پشتیبانی میشوند.
لیست آسیب پذیریهای شناسایی شده که مجموعاً جعبه پاندورا یا PANdora Box نامیده میشود، به شرح زیر است:
- CVE-2020-10713 با نام مستعار BootHole (بر PA-3260، PA-1410 و PA-415 تأثیر میگذارد)، به یک آسیب پذیری سرریز بافر اشاره دارد که امکان دور زدن بوت امن دستگاه را در سیستمهای لینوکس دارای این ویژگی فعال، امکان پذیر میسازد.
- CVE-2022-24030، CVE-2021-33627، CVE-2021-42060، CVE-2021-42554، CVE-2021-43323 و CVE-2021-45970 (که PA-3260 را تحت تأثیر قرار میدهند)، به مجموعهای از آسیب پذیریهای System Management Mode (SMM) اشاره دارند که بر فریمور InsydeH2O UEFI شرکت Insyde Software تأثیر میگذارند. این آسیب پذیریها میتوانند منجر به افزایش سطح دسترسی (Privilege Escalation) و دور زدن مکانیزم بوت امن شوند.
- Logofail (مدل PA-3260 را تحت تأثیر قرار میدهد)، به مجموعهای از آسیب پذیریهای مهم کشف شده در کد UEFI [1] اشاره دارد. این آسیب پذیریها از نقصهای موجود در کتابخانههای پردازش تصاویر (Image Parsing Libraries) تعبیه شده در فریمور سوءاستفاده میکنند تا بوت امن را دور بزنند و کدهای مخرب را در هنگام راهاندازی سیستم اجرا کنند.
- Pixiefail (مدلهای PA-1410 و PA-415 را تحت تأثیر قرار میدهد) به مجموعهای از آسیب پذیریها در stack پروتکل شبکه TCP/IP اشاره دارد که در پیادهسازی مرجع UEFI گنجانده شده است. این آسیب پذیریها میتوانند منجر به اجرای کد مخرب و افشای اطلاعات شوند.
- آسیبپذیری کنترل دسترسی غیرایمن بهFlash ، (تأثیرگذار بر PA-415) به یک مشکل در تنظیمات نادرست کنترل دسترسی SPI Flash اشاره دارد که میتواند به مهاجم اجازه دهد تاUEFI را بهصورت مستقیم تغییر داده و سایر مکانیزمهای امنیتی را دور بزند. SPI Flash ، حافظهای است که برای ذخیرهسازی فریمور UEFI استفاده میشود. این حافظه باید با کنترلهای دسترسی سختگیرانه محافظت گردد تا از ایجاد تغییرات غیرمجاز در آن جلوگیری شود.
- CVE-2023-1017 (تأثیرگذار بر PA-415) به یک آسیب پذیری نوشتن خارج از محدوده (Out-of-Bounds Write) در مشخصات کتابخانه مرجع ماژول پلتفرم قابل اطمینان (TPM) 2.0اشاره دارد.
- دور زدن Intel BootGuard با کلیدهای فاششده (تأثیرگذار بر PA-1410) به یک نقص امنیتی اشاره دارد که در آن کلیدهای خصوصی مرتبط با Intel BootGuard به بیرون درز کردهاند و مهاجمان میتوانند از این کلیدها برای دور زدن مکانیزمهای امنیتی BootGuard سوءاستفاده کنند.
این وضعیت بر لزوم هوشیاری مداوم در امنیت شبکه تأکید میکند، به ویژه در مورد دستگاههای لبه شبکه مانند فایروال که برای محافظت از زیرساختهای سازمانی در برابر تهدیدات خارجی بسیار مهم هستند.
شرکت Palo Alto Networks در پاسخ به تحقیقات Eclypsium اعلام کرد که این آسیب پذیریها در نرمافزار PAN-OS فایروالهایی که مرتب به روزرسانی میشوند و با استفاده از اینترفیسهای مدیریتی امن که بر اساس دستورالعملهای ارائه شده پیکربندی و مستقر شدهاند، قابل اکسپلویت نیستند و تاکنون هیچ گزارشی از سوءاستفاده مخرب از این آسیب پذیریها دریافت نشده است.
اکسپلویت این آسیب پذیریها مستلزم دسترسی اولیه مهاجم به نرمافزار PAN-OS و ارتقای سطح دسترسی خود برای تغییر یا دسترسی به فریمور BIOS است. خطر این آسیب پذیریها با بهروزرسانی به آخرین نسخههای پشتیبانی شده فایروالها کاهش مییابد.
این شرکت در حال همکاری با فروشندگان مختلف برای توسعه بهروزرسانی فریمور جهت رفع نقصهای موجود در InsydeH2O UEFI است که ممکن است بر سریهای PA-3200، PA-5200 و PA-7200 تأثیر بگذارند.
شرکت Palo Alto Networks همچنین اذعان داشت که متعهد به ارائه بهروزرسانیها و راهنماییهای لازم به مشتریان جهت حفظ و بهبهود کیفیت و امنیت فناوری خود است.
[1] Unified Extensible Firmware Interface