Detectan Vulnerabilidades en Equipos PaloAlto. Eclypsium abre la Caja de Pandora.

Todas las organizaciones se esfuerzan por implementar dispositivos de seguridad tanto en la nube como en entornos locales (on-premise) para proteger la información crítica. Sin embargo, estas soluciones a menudo requieren inversiones de miles de dólares, y en muchos casos, lo único que logran es brindar algo más de tranquilidad a los responsables de la gestión de los datos.

Pero, al ser conscientes de este hecho, los ciberdelincuentes están constantemente buscando maneras de superar estas barreras y acceder a la información valiosa. De la misma manera, los investigadores de seguridad (los conocidos "sombreros blancos") también están tras estas vulnerabilidades, pero con un propósito muy distinto: adelantarse a los cibercriminales y proteger nuestra información. A ellos les debemos mucho por sus esfuerzos constantes en defensa de la ciberseguridad.

La empresa de Seguridad Eclypium encontró varias vulnerabilidades en equipos PaloAlto, los cuales estan orientadas a explotar tanto firmware como sistemas operativos.

Vulnerabilidad de Boothole y Secure Boot Bypass

Plataformas afectadas: PA-3260, PA-415 y PA1410

El arranque seguro es una característica de seguridad crítica que verifica la integridad del proceso de arranque y mejora significativamente la protección contra amenazas como rootkits, bootkits y ataques a nivel de firmware al evitar que se ejecute código no autorizado o malintencionado antes de que se cargue el sistema operativo. Esta es una capa crucial de seguridad para todos los sistemas, incluidos los dispositivos/dispositivos de red y seguridad, ya que ayuda a mantener la integridad del sistema.

La raíz de confianza está representada por varios certificados (PK y KEK), además de variables que almacenan certificados o hashes de software permitido (DB) y no permitido (DBX) que pueden ejecutarse durante el arranque.

Palo Alto ha optado por producir su propio conjunto de certificados para sus dispositivos, lo que significa que Palo Alto debe actualizar la base de datos y el DBX y, en última instancia, dictar qué software puede ejecutarse durante el arranque del sistema. En este caso, Palo Alto no ha actualizado el DBX para no permitir software específico, como versiones vulnerables del cargador de arranque GRUB2, lo que permite a un atacante eludir el arranque seguro.

Afortunadamente para los atacantes (y desafortunadamente para los defensores), es posible obtener privilegios de root en los dispositivos PAN-OS de Palo Alto combinando exploits para dos CVE: CVE-2024-0012 y CVE-2024-9474, como documentó Watchtowr Labs en noviembre de 2024. Si bien el artículo publicado por Watchtowr Labs contiene todos los detalles necesarios para crear un exploit que funcione, no lanzaron una PoC (prueba de concepto). Sin embargo, existe al menos un exploit público para estas vulnerabilidades (¡úselo bajo su propio riesgo!).

La Caja de Pandora!

La lista de fallas identificadas, denominadas colectivamente PANdora's Box, es la siguiente:

• CVE-2020-10713, también conocido como BootHole (afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de desbordamiento de búfer que permite una omisión de arranque seguro en sistemas Linux con la función habilitada
• CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323 y CVE-2021-45970 (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades del modo de administración del sistema (SMM) que afectan al firmware UEFI InsydeH2O de Insyde Software y que podrían provocar una escalada de privilegios y una omisión de arranque seguro
• LogoFAIL (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades críticas descubiertas en el código de la Interfaz de Firmware Extensible Unificada (UEFI) que explotan fallos en las bibliotecas de análisis de imágenes integradas en el firmware para eludir el arranque seguro y ejecutar código malicioso durante el inicio del sistema
• PixieFail (afecta a PA-1410 y PA-415), que se refiere a un conjunto de vulnerabilidades en la pila de protocolos de red TCP/IP incorporadas en la implementación de referencia UEFI que podrían conducir a la ejecución de código y la divulgación de información
• Vulnerabilidad de control de acceso flash inseguro (afecta a PA-415), que se refiere a un caso de controles de acceso flash SPI mal configurados que podrían permitir a un atacante modificar UEFI directamente y eludir otros mecanismos de seguridad.
• CVE-2023-1017 (afecta a PA-415), que hace referencia a una vulnerabilidad de escritura fuera de límites en la especificación de la biblioteca de referencia del módulo de plataforma segura (TPM) 2.0
• Omitir las claves filtradas de Intel Bootguard (afecta a PA-1410)

Conclusiones

El panorama de seguridad para los dispositivos de red es mucho más complejo y vulnerable de lo que muchas organizaciones creen. Nuestro examen de los dispositivos de Palo Alto Networks revela varias brechas de seguridad, desde vulnerabilidades para evadir el arranque seguro hasta múltiples instancias de firmware sin parches. Estos hallazgos subrayan una verdad crítica: incluso los dispositivos diseñados para proteger pueden convertirse en vectores de ataque si no se protegen y mantienen adecuadamente. A medida que los actores de amenazas continúan atacando los dispositivos de seguridad, las organizaciones deben adoptar un enfoque más integral para la seguridad de la cadena de suministro. Esto incluye evaluaciones rigurosas de los proveedores, actualizaciones periódicas de firmware y supervisión continua de la integridad del dispositivo. Al comprender y abordar estas vulnerabilidades ocultas, las organizaciones pueden proteger mejor sus redes y datos de ataques sofisticados que explotan las mismas herramientas destinadas a protegerlos. En el cambiante panorama actual de amenazas, la visibilidad en todos los niveles de la pila tecnológica no solo es recomendable, sino esencial.

Riesgos de la cadena de suministro en aparatos de seguridad - Eclypsium | Seguridad de la cadena de suministro para la empresa moderna