Un reciente estudio de la empresa de ciberseguridad Eclypsium ha puesto al descubierto preocupantes vulnerabilidades en el firmware de tres modelos de firewalls de Palo Alto Networks: PA-3260, PA-1410 y PA-415. Estas brechas de seguridad, bautizadas como PANdora’s Box, exponen fallas en configuraciones de seguridad y riesgos considerables en dispositivos fundamentales para la protección de redes empresariales.
El informe sugiere que estas vulnerabilidades no son nuevas ni desconocidas; son fallas bien documentadas que no deberían aparecer en dispositivos de seguridad de alto estándar. Entre las principales debilidades identificadas se encuentra BootHole (CVE-2020-10713), una vulnerabilidad que afecta el arranque seguro en sistemas Linux y está presente en los tres modelos analizados. Otras deficiencias incluyen fallas en el firmware UEFI, como las debilidades detectadas en el modo de administración del sistema (SMM) en el PA-3260, que permiten la elevación de privilegios y evitan el arranque seguro.
LogoFAIL, otra vulnerabilidad crítica detectada, afecta las bibliotecas de análisis de imágenes del firmware UEFI en el PA-3260, permitiendo la ejecución de código malicioso durante el proceso de arranque del sistema. Así mismo, las fallas PixieFail se encuentran en la pila TCP/IP integrada en el firmware UEFI de los modelos PA-1410 y PA-415, facilitando la ejecución de código y la filtración de información confidencial. Además, se constató un control de acceso flash inseguro en el PA-415, permitiendo la manipulación directa del firmware UEFI y eludiendo mecanismos de seguridad.
El análisis también destaca la vulnerabilidad CVE-2023-1017, una brecha de escritura fuera de límites en la especificación del Módulo de plataforma segura (TPM) 2.0, que compromete al modelo PA-415. Además, en el PA-1410 se descubrió la omisión de claves de Intel Bootguard, que permite eludir protecciones críticas durante el arranque seguro.
Estos problemas amenazan la integridad de las redes protegidas por los dispositivos vulnerables, habilitando ataques avanzados que explotan las mismas herramientas destinadas a protegerlas. El PA-3260, aunque llegó al final de su ciclo de ventas en agosto de 2023, probablemente sigue siendo utilizado en varias organizaciones. Por otro lado, los modelos PA-1410 y PA-415 permanecen activos y reciben soporte completo, lo que subraya la urgencia de abordar estas vulnerabilidades.
Eclypsium enfatiza la necesidad vital de adoptar un enfoque minucioso para salvaguardar la infraestructura de seguridad. Recomienda auditorías de seguridad periódicas, actualizar el firmware de los dispositivos con frecuencia, implementar una monitorización continua para detectar cambios no autorizados, y revisar minuciosamente la seguridad de la cadena de suministro antes de comprar soluciones tecnológicas.
Este descubrimiento subraya que la seguridad es un proceso continuo y no un estado permanente. Las organizaciones deben reconocer que incluso los dispositivos diseñados específicamente para la seguridad no son inmunes a los fallos. En un contexto donde las tácticas de los actores maliciosos evolucionan constantemente, la protección de la infraestructura de seguridad debe ser una prioridad estratégica. Al abordar de forma proactiva estas vulnerabilidades, las empresas pueden mitigar significativamente los riesgos, asegurando una mejor protección de sus datos y redes frente a amenazas cada vez más sofisticadas.
