Palo Alto Networks’ün üç güvenlik duvarı modeline yönelik kapsamlı bir değerlendirme, cihazların firmware’ini etkileyen ve yanlış yapılandırılmış güvenlik özelliklerini içeren bir dizi bilinen güvenlik açığını ortaya çıkardı.

“Bu açıklar, nadir ve karmaşık senaryolara özgü zayıflıklar değildi,” diye belirtti güvenlik firması Eclypsium, The Hacker News ile paylaşılan bir raporunda.

“Bunun yerine, tüketici seviyesindeki bir dizüstü bilgisayarda bile görmeyi beklemeyeceğimiz son derece bilinen sorunlardı. Bu açıklar, Secure Boot gibi temel bütünlük koruma önlemlerini atlatmaya ve cihaz firmware’ini değiştirmeye olanak tanıyabilir.”

Şirket, Palo Alto Networks’e ait üç güvenlik duvarı cihazını analiz ettiğini belirtti: PA-3260, PA-1410 ve PA-415. Bunlardan ilki, 31 Ağustos 2023 tarihinde resmi olarak satıştan kaldırıldı. Diğer iki model ise hâlâ tamamen desteklenen güvenlik duvarı platformlarıdır.

PANdora’s Box olarak adlandırılan tespit edilen güvenlik açıkları şu şekilde sıralanmıştır:

  1. CVE-2020-10713 (BootHole): PA-3260, PA-1410 ve PA-415’i etkileyen bu açık, Linux sistemlerinde Secure Boot’u atlatmaya olanak tanıyan bir tampon taşması güvenlik zafiyetidir.
  2. CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323 ve CVE-2021-45970: PA-3260’ı etkileyen bu açıklar, Insyde Software’in InsydeH2O UEFI firmware’inde bulunan, yetki yükseltme ve Secure Boot’u atlatma gibi sorunlara yol açabilecek System Management Mode (SMM) zafiyetleridir.
  3. LogoFAIL: PA-3260’ı etkileyen bu açık, firmware içindeki görsel işleme kütüphanelerindeki hataları kullanarak Secure Boot’u atlatmaya ve sistem başlangıcında zararlı kod çalıştırmaya olanak tanıyan kritik zafiyetleri ifade eder.
  4. PixieFail: PA-1410 ve PA-415’i etkileyen bu açık, UEFI referans uygulamasına dahil edilen TCP/IP ağ protokol yığını içerisindeki zafiyetlerin kod çalıştırma ve bilgi sızıntısına yol açabileceğini ifade eder.
  5. Güvensiz Flash Erişim Kontrolü Zafiyeti: PA-415’i etkileyen bu sorun, SPI flash erişim kontrollerinin yanlış yapılandırılmasıyla saldırganların UEFI’yi doğrudan değiştirmesine ve diğer güvenlik mekanizmalarını atlatmasına olanak tanıyabilir.
  6. CVE-2023-1017: PA-415’i etkileyen bu açık, Trusted Platform Module (TPM) 2.0 referans kitaplık spesifikasyonunda bir sınır dışı yazma zafiyetidir.
  7. Intel BootGuard Sızdırılmış Anahtarların Atlatılması: PA-1410’u etkileyen bir sorundur.

Eclypsium, “Bu bulgular, cihazların düzgün bir şekilde güvence altına alınmadığı ve bakımı yapılmadığı durumlarda, korunma amacıyla tasarlanan cihazların bile saldırı vektörü haline gelebileceğini gösteriyor,” dedi.

Şirketin Tavsiyeleri:

  • Güvenlik tedarikçilerinin dikkatli değerlendirilmesi
  • Düzenli firmware güncellemeleri
  • Cihaz bütünlüğünün sürekli izlenmesi

Palo Alto Networks’ün Açıklaması:
Palo Alto Networks, Eclypsium tarafından yayımlanan araştırmaların farkında olduklarını ve tespit edilen potansiyel açıkların güncel PAN-OS yazılımında, en iyi uygulama yönergelerine uygun güvenli yönetim arayüzleriyle dağıtıldığı sürece, normal koşullarda kullanılabilir olmadığını belirtti. Ayrıca, bu açıkların kötü niyetli kullanımına dair bir kanıt olmadığını ifade ettiler.

Şirket ayrıca, PAN-OS yazılımının sömürülmesinin, saldırganların BIOS firmware’e erişim veya modifikasyon için yüksek ayrıcalıklar elde etmesini gerektirdiğini ve bu riskin en son sürümlere güncellemeyle büyük ölçüde azaltıldığını belirtti.

Ayrıca, InsydeH2O UEFI firmware’deki altı güvenlik açığını gidermek için üçüncü taraflarla birlikte çalıştıklarını ve ilgili modeller için firmware güncellemeleri üzerinde çalışıldığını duyurdu.