Palo Alto Firewall で発見された複数の脆弱性 PANdora’s Box:Secure Boot バイパスなどの可能性

Palo Alto Firewalls Found Vulnerable to Secure Boot Bypass and Firmware Exploits

2025/01/23 TheHackerNews — Palo Alto Networks のファイアウォール・アプライアンスである PA-3260/PA-1410/PA-415 に、デバイスのファームウェアに影響を及ぼす複数の既知のセキュリティ欠陥や、誤ったセキュリティ機能が存在することが判明した。これらの脆弱性は、セキュリティ・ベンダー Eclypsium による調査で発見されたものだ。現時点において、PA-1410/PA-415 はサポート対象だが、PA-3260 は 2023年8月31日に販売終了となっている。

Eclypsium のレポートには、「我々が発見した脆弱性は珍しいものではなく、一般的な消費者向けのノートパソコンでも対策が施されていると思われる、きわめて一般的なものだ。これらの脆弱性を悪用する攻撃者は、Secure Boot などの基本的なセキュリティを回避し、デバイスのファームウェアを変更する可能性を手にする」と記されている。

一連の脆弱性は PANdora’s Box と総称されている。それぞれの脆弱性の詳細は、以下の通りである。

  • CVE-2020-10713 (別名:BootHole):PA-3260/PA-1410/PA-415 に影響grub2 に存在する、バッファ・オーバーフロー脆弱性。この脆弱性を悪用する攻撃者は、Linux システム Secure Boot をバイパスする可能性を得る。
  • CVE-2022-24030/CVE-2021-33627/CVE-2021-42060/CVE-2021-42554/CVE-2021-43323/CVE-2021-45970PA-3260 に影響:Insyde Software InsydeH2O UEFI ファームウェアの、システム管理モード (SMM:System Management Mode) に存在する複数の脆弱性。これらの脆弱性が悪用されると、特権昇格や Secure Boot のバイパスなどにつながる可能性がある。
  • LogoFAIL:PA-3260 に影響:Unified Extensible Firmware Interface (UEFI) コードで発見された一連の重大な脆弱性。これらの脆弱性の悪用に成功した攻撃者は、ファームウェアに組み込まれたイメージ解析ライブラリの欠陥を悪用して Secure Boot をバイパスし、システム起動時に悪意のコードを実行する可能性を手にする。
  • PixieFailPA-1410PA-415 に影響:UEFI リファレンス実装に組み込まれた TCP/IP ネットワーク・プロトコル・スタックの脆弱性セット。悪用が達成されると、コード実行や情報漏洩などが生じる恐れがある。
  • 不適切なフラッシュアクセス制御の脆弱性:PA-415 に影響:SPI フラッシュ・アクセス制御のミスコンフィグに起因する脆弱性。攻撃者が UEFI を直接変更し、他のセキュリティ・メカニズムを回避する可能性がある。
  • Intel bootguard のキー漏洩バイパスの脆弱性PA-1410 に影響をおよぼす。

Eclypsium は、以下のように述べている。

これらの調査結果が浮き彫りにするのは、保護を目的として設計されたデバイスであっても、適切な保護/管理が維持されていなければ、攻撃の媒介と成り得るということだ。攻撃者がセキュリティ・アプライアンスを標的とし続ける限り、組織はサプライチェーン・セキュリティに対して、より包括的なアプローチを採用する必要がある。

そこに取り込むべき項目は、厳格なベンダー評価/定期的なファームウェアの更新/継続的なデバイスの完全性監視などである。これらの隠れた脆弱性に対処することで、ユーザー組織のネットワークやデータを守るために導入したツールを、悪用する巧妙な攻撃を回避し、それらを保護できる — Eclypsium

Update:

コメントの求めに応じて Palo Alto Networks は、以下の声明を The Hacker News に 対して発表した:

Palo Alto Networks は、セキュリティを最優先事項として位置づけている。当社の Next Generation Firewall 製品に影響を及ぼす脆弱性についての、Eclypsium の調査報告を認識している。

当社の製品セキュリティ・インシデント対応チームが、この潜在的な脆弱性を評価した。その結果、ベストプラクティス・ガイドラインに従って実装された、安全が確保された管理インターフェースを備える、最新バージョンの PAN-OS ソフトウェアでは、悪用を成功させるシナリオが存在しないことが判明した。我々は、これらの問題が悪用されたという報告は受けていない。当社は、当社の技術の品質と完全性を確信している。

これらの PAN-OSソフトウェアの脆弱性は、現行の利用状況では悪用される可能性は低いが、当社はサードパーティ・ベンダーと協力して、必要となる緩和策を開発している。影響を受ける顧客には、詳細が判明次第、最新情報と対応策を案内する予定だ — Palo Alto Networks

Palo Alto Firewall で発見された、複数の脆弱性のセットである PANdora’s Box に関するトピックです。現行の製品と、EoL になってしまった製品とで、発生する問題に違いがあるようです。文中の、Palo Alto の反論にも、ご注意ください。よろしければ、Palo Altoで検索も、ご参照ください。