خانه » فایروال‌های Palo Alto در برابر دور زدن Secure Boot و اکسپلویت فریمورها آسیب‌پذیر هستند!

فایروال‌های Palo Alto در برابر دور زدن Secure Boot و اکسپلویت فریمورها آسیب‌پذیر هستند!

توسط Vulnerbyt_News
فایروال‌های Palo Alto - تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - دور زدن Secure Boot و اکسپلویت فریمورها - آسیب‌پذیری

یک ارزیابی امنیتی جامع توسط Eclypsium از سه مدل فایروال Palo Alto Networks، منجر به کشف آسیب پذیری مختلف شده است که بر فریمور دستگاه‌ها تأثیر می‌گذارند. این آسیب پذیری‌ها و نقص‌های امنیتی می‌توانند به مهاجمان اجازه دهند تا ابتدایی‌ترین حفاظت‌های یکپارچگی مانند  Secure Boot(بوت امن) را دور بزنند و فریمور دستگاه را تغییر دهند.

Eclypsium اذعان داشت که در مطالعات خود، سه مدل فایروال PA-3260، PA-1410، و PA-415 را مورد بررسی قرار داده است که اولین آنها به طور رسمی در 31 آگوست 2023 به پایان فروش خود رسید اما دو مدل دیگر به طور کامل پشتیبانی می‌شوند.

لیست آسیب پذیری‌های شناسایی شده که مجموعاً جعبه پاندورا یا PANdora Box نامیده می‌شود، به شرح زیر است:

  • CVE-2020-10713 با نام مستعار BootHole (بر PA-3260، PA-1410 و PA-415 تأثیر می‌گذارد)، به یک آسیب ‌پذیری سرریز بافر اشاره دارد که امکان دور زدن بوت امن دستگاه را در سیستم‌های لینوکس دارای این ویژگی فعال، امکان پذیر می‌سازد.
  • CVE-2022-24030، CVE-2021-33627، CVE-2021-42060، CVE-2021-42554، CVE-2021-43323 و CVE-2021-45970 (که PA-3260 را تحت تأثیر قرار می‌دهند)، به مجموعه‌ای از آسیب ‌پذیری‌های System Management Mode (SMM)  اشاره دارند که بر فریمور InsydeH2O UEFI شرکت Insyde Software تأثیر می‌گذارند. این آسیب ‌پذیری‌ها می‌توانند منجر به افزایش سطح دسترسی (Privilege Escalation)  و دور زدن مکانیزم بوت امن شوند.
  • Logofail (مدل PA-3260 را تحت تأثیر قرار می‌دهد)، به مجموعه‌ای از آسیب پذیری‌های مهم کشف شده در کد UEFI [1] اشاره دارد. این آسیب ‌پذیری‌ها از نقص‌های موجود در کتابخانه‌های پردازش تصاویر (Image Parsing Libraries) تعبیه‌ شده در فریمور سوءاستفاده می‌کنند تا بوت امن  را دور بزنند و کدهای مخرب را در هنگام راه‌اندازی سیستم اجرا کنند.
  • Pixiefail (مدل‌های PA-1410 و PA-415 را تحت تأثیر قرار می‌دهد) به مجموعه‌ای از آسیب پذیری‌ها در stack  پروتکل شبکه TCP/IP اشاره دارد که در پیاده‌سازی مرجع UEFI گنجانده شده است. این آسیب ‌پذیری‌ها می‌توانند منجر به اجرای کد مخرب و افشای اطلاعات شوند.
  • آسیب‌پذیری کنترل دسترسی غیرایمن بهFlash ، (تأثیرگذار بر PA-415) به یک مشکل در تنظیمات نادرست کنترل دسترسی SPI Flash اشاره دارد که می‌تواند به مهاجم اجازه دهد تاUEFI را به‌صورت مستقیم تغییر داده و سایر مکانیزم‌های امنیتی را دور بزند. SPI Flash ، حافظه‌ای است که برای ذخیره‌سازی فریمور UEFI استفاده می‌شود. این حافظه باید با کنترل‌های دسترسی سخت‌گیرانه محافظت گردد تا از ایجاد تغییرات غیرمجاز در آن جلوگیری شود.
  • CVE-2023-1017 (تأثیرگذار بر PA-415) به یک آسیب‌ پذیری نوشتن خارج از محدوده (Out-of-Bounds Write) در مشخصات کتابخانه مرجع ماژول پلتفرم قابل اطمینان (TPM) 2.0اشاره دارد.
  • دور زدن Intel BootGuard با کلیدهای فاش‌شده (تأثیرگذار بر PA-1410) به یک نقص امنیتی اشاره دارد که در آن کلیدهای خصوصی مرتبط با Intel BootGuard  به بیرون درز کرده‌اند و مهاجمان می‌توانند از این کلیدها برای دور زدن مکانیزم‌های امنیتی BootGuard سوءاستفاده کنند.

این وضعیت بر لزوم هوشیاری مداوم در امنیت شبکه تأکید می‌کند، به ویژه در مورد دستگاه‌های لبه شبکه مانند فایروال که برای محافظت از زیرساخت‌های سازمانی در برابر تهدیدات خارجی بسیار مهم هستند.

شرکت Palo Alto Networks در پاسخ به تحقیقات Eclypsium  اعلام کرد که این آسیب ‌پذیری‌ها در نرم‌افزار PAN-OS  فایروال‌هایی که مرتب به روزرسانی می‌شوند و با استفاده از اینترفیس‌های مدیریتی امن که بر اساس دستورالعمل‌های ارائه شده پیکربندی و مستقر شده‌اند، قابل اکسپلویت نیستند و تاکنون هیچ گزارشی از سوءاستفاده مخرب از این آسیب ‌پذیری‌ها دریافت نشده است.

اکسپلویت این آسیب ‌پذیری‌ها مستلزم دسترسی اولیه مهاجم به نرم‌افزار PAN-OS و ارتقای سطح دسترسی خود برای تغییر یا دسترسی به فریمور BIOS است. خطر این آسیب ‌پذیری‌ها با به‌روزرسانی به آخرین نسخه‌های پشتیبانی‌ شده فایروال‌ها کاهش می‌یابد.

این شرکت در حال همکاری با فروشندگان مختلف برای توسعه به‌روزرسانی‌ فریمور جهت رفع نقص‌های موجود در InsydeH2O UEFI  است که ممکن است بر سری‌های PA-3200، PA-5200 و PA-7200  تأثیر بگذارند.

شرکت Palo Alto Networks همچنین اذعان داشت که متعهد به ارائه به‌روزرسانی‌ها و راهنمایی‌های لازم به مشتریان جهت حفظ و بهبهود کیفیت و امنیت فناوری خود است.

 

[1] Unified Extensible Firmware Interface

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید