Onderzoekers vinden Grub2- en UEFI-lekken in firewalls Palo Alto Networks
Onderzoekers hebben in firewalls van Palo Alto Networks meerdere kwetsbaarheden aangetroffen die al jaren oud en bekend zijn. Het gaat onder andere om een beveiligingslek in de Grub2-bootloader uit 2020 en kwetsbaarheden in de UEFI-firmware van Insyde die al sinds 2022 bekend zijn. Dat laten onderzoekers van securitybedrijf Eclypsium weten. Via de kwetsbaarheden is het onder andere mogelijk om Secure Boot te omzeilen, de hoogst mogelijke rechten op het systeem te krijgen en persistente malware te installeren.
Verder stellen de onderzoekers dat de firewalls, de PA-3260, PA-1410 en PA-415, ook verschillende kwetsbaarheden bevatten die bekend staan als LogoFail en PixieFail. "Deze resultaten laten een belangrijke waarheid zien: zelfs apparaten ontworpen om te beschermen kunnen een aanvalsvector worden als ze niet goed worden beveiligd en beheerd", aldus de onderzoekers in een rapport.
Palo Alto Networks is vandaag met een reactie op de bevindingen gekomen. Het securitybedrijf bevestigt de UEFI-kwetsbaarheden uit 2022 en zegt aan firmware-updates te werken. Wanneer de updates verschijnen laat het bedrijf niet weten. Wat betreft de LogoFail-kwetsbaarheid stelt Palo Alto Networks dat dit lek niet vanuit het besturingssysteem is te misbruiken dat op de firewalls draait. De PixieFail-kwetsbaarheid is niet aanwezig, omdat de BIOS network stack staat uitgeschakeld, aldus de reactie.
In het geval van de Grub2-kwetsbaarheid stelt het bedrijf dat die niet onder normale omstandigheden is te misbruiken. "Gebruikers en beheerders hebben geen toegang tot de BIOS-firmware of rechten om die aan te passen", laat de reactie weten. "Een aanvaller zou eerst het systeem moeten compromitteren en dan de noodzakelijke root Linux-rechten moeten krijgen om deze acties uit te voeren voordat ze misbruik van het lek kunnen maken."
De onderzoekers laten daarop weten dat aanvallers root-rechten op firewalls van Palo Alto Networks kunnen krijgen door twee kwetsbaarheden te combineren, zoals securitybedrijf watchTowr eind vorig jaar aantoonde. Voor een aantal van de andere kwetsbaarheden stelt Palo Alto Networks dat fysieke toegang is vereist. "We adviseren als best practice om fysieke toegang tot de firewalls te beperken."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?