Palo Alto Firewalls: Schwachstellen gefährden Sicherheit : PANdoras Box: Palo Alto Firewalls im Visier
Eine gründliche Analyse von drei Palo Alto Networks Firewall-Modellen hat zahlreiche bekannte Schwachstellen in der Firmware sowie falsch konfigurierte Sicherheitsfunktionen ans Licht gebracht. Angreifer könnten durch geschickte Ausnutzung den Secure-Boot-Schutz umgehen und manipulierte Firmware auf betroffenen Geräten ausführen.
Die Hauptanfälligkeit betrifft Schwächen in der Implementierung von Secure Boot, die es Angreifern erlauben könnten, den Startprozess der Firewall zu kompromittieren. „Bei den Schwachstellen handelt es sich nicht um irgendwelche obskuren Exoten“, so der Sicherheitsanbieter Eclypsium in einem Bericht. „Vielmehr geht es um sehr bekannte Probleme, die wir selbst bei einem Laptop für Endverbraucher nicht erwarten würden. Diese Schwachstellen könnten es Angreifern ermöglichen, selbst grundlegende Schutzmechanismen wie Secure Boot zu umgehen und die Geräte-Firmware zu manipulieren.“
Das Unternehmen gab an, drei Firewall-Appliances von Palo Alto Networks analysiert zu haben: PA-3260, PA-1410 und PA-415. Das Modell PA-3260 wurde offiziell am 31. August 2023 aus dem Verkauf genommen, während die anderen beiden Modelle vollständig unterstützte Firewall-Plattformen sind.
PANdoras Box
Die Liste der identifizierten Schwachstellen, die gemeinsam als PANdoras Box bezeichnet werden, umfasst folgende Punkte:
- CVE-2020-10713 (BootHole)
Betrifft die Modelle PA-3260, PA-1410 und PA-415.
Es handelt sich um eine Buffer-Overflow-Schwachstelle, die eine Umgehung des Secure Boot auf Linux-Systemen mit aktivierter Secure-Boot-Funktion ermöglicht. - CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323 und CVE-2021-45970
Betrifft das Modell PA-3260.
Diese Schwachstellen betreffen den System Management Mode (SMM) in der UEFI-Firmware „InsydeH2O“ von Insyde Software. Angreifer könnten dadurch Privilegien eskalieren und Secure Boot umgehen. - LogoFAIL
Betrifft das Modell PA-3260.
Kritische Schwachstellen im UEFI-Code, die auf Fehler in den Bildverarbeitungsbibliotheken der Firmware basieren. Diese ermöglichen das Umgehen von Secure Boot und das Ausführen von Schadcode während des Systemstarts. - PixieFail
Betrifft die Modelle PA-1410 und PA-415.
Eine Reihe von Schwachstellen im TCP/IP-Netzwerkprotokoll-Stack der UEFI-Referenzimplementierung. Diese können zu Codeausführung und Informationslecks führen. - Unsichere Flash-Zugriffssteuerung
Betrifft das Modell PA-415.
Eine fehlerhafte Konfiguration der SPI-Flash-Zugriffssteuerung, die Angreifern erlaubt, die UEFI direkt zu manipulieren und andere Sicherheitsmechanismen zu umgehen. - CVE-2023-1017
Betrifft das Modell PA-415.
Eine Out-of-Bounds-Write-Schwachstelle in der Trusted Platform Module (TPM) 2.0 Referenzbibliothek, die zu Sicherheitsproblemen führen kann. - Umgehung der Intel-Bootguard-Schlüssel
Betrifft das Modell PA-1410.
Schwachstelle, die es ermöglicht, durch geleakte Schlüssel von Intel BootGuard Sicherheitsmechanismen zu umgehen.
„Diese Erkenntnisse verdeutlichen eine entscheidende Wahrheit: Selbst Geräte, die zum Schutz entwickelt wurden, können zu Angriffszielen werden, wenn sie nicht ordnungsgemäß gesichert und gewartet werden“, erklärte Eclypsium. „Da Bedrohungsakteure zunehmend Sicherheitsappliances ins Visier nehmen, müssen Organisationen einen umfassenderen Ansatz für die Sicherheit der Lieferkette verfolgen.“
„Dazu gehören gründliche Bewertungen der Anbieter, regelmäßige Firmware-Updates und eine kontinuierliche Überwachung der Geräteintegrität. Durch das Erkennen und Beheben dieser versteckten Schwachstellen können Organisationen ihre Netzwerke und Daten besser vor raffinierten Angriffen schützen, welche die Werkzeuge ausnutzen, die eigentlich für ihre Sicherheit gedacht sind.“
Was Palo Alto zu den Schwachstellenenthüllungen sagt
Konfrontiert mit diesen Ergebnissen gab Palo Alto Networks folgende Erklärung ab:
„Die Sicherheit unserer Kunden hat für uns höchste Priorität. Palo Alto Networks ist sich der kürzlich veröffentlichten Forschungsergebnisse von Eclypsium bewusst, die mögliche Schwachstellen in einigen unserer Next-Generation-Firewall-Produkte betreffen.
Das Product Security Incident Response Team von Palo Alto Networks hat diese potenziellen Schwachstellen untersucht. Es wurde festgestellt, dass die für eine erfolgreiche Ausnutzung erforderlichen Szenarien unter normalen Bedingungen bei Einsatz von aktueller PAN-OS-Software und gesicherten Verwaltungsoberflächen gemäß den Best-Practice-Richtlinien nicht gegeben sind. Palo Alto Networks liegen keine Hinweise auf eine böswillige Ausnutzung dieser Schwachstellen vor. Wir stehen hinter der Qualität und Integrität unserer Technologie.
Auch wenn die Bedingungen, die für eine Ausnutzung dieser Schwachstellen erforderlich wären, für Nutzer oder Administratoren der PAN-OS-Software nicht verfügbar sind, arbeiten wir mit dem Drittanbieter zusammen, um gegebenenfalls notwendige Gegenmaßnahmen zu entwickeln. Wir werden betroffene Kunden mit weiteren Updates und Leitlinien versorgen, sobald diese verfügbar sind.“
Palo Alto Networks erklärte in einer weiteren Mitteilung, dass Angreifer die genannten Schwachstellen nur ausnutzen können, wenn sie zuvor die PAN-OS-Software über andere Wege kompromittieren und sich erweiterte Zugriffsrechte verschaffen, um die BIOS-Firmware zu ändern. Das Unternehmen betonte außerdem, dass das Risiko durch ein Update auf die neueste unterstützte Version der Software erheblich reduziert werden kann.
Gleichzeitig gab Palo Alto Networks bekannt, dass es gemeinsam mit Drittanbietern an Firmware-Updates arbeitet. Diese Updates betreffen sechs Schwachstellen in der InsydeH2O-UEFI-Firmware und könnten für die Modelle der PA-3200-Serie, PA-5200-Serie und PA-7200-Serie mit installierter Switch Management Card (SMC-B) notwendig sein.