导语:全球知名安全厂商Palo Alto Networks多款企业级防火墙被曝存在"供应链级"高危漏洞!安全团队Eclypsium研究发现,攻击者可绕过Secure Boot保护、篡改固件植入持久化后门,PA-3260、PA-1410、PA-415三大型号成重灾区,企业核心防线恐沦为攻击跳板。
一、事件速览
-
漏洞家族:统称PANdora's Box,涵盖11个高危漏洞,涉及Secure Boot绕过、固件提权、内存越界写入等。
-
波及设备:
-
PA-3260(2023年8月停售):存在BootHole、LogoFAIL等7项漏洞;
-
PA-1410/PA-415(在售型号):暴露PixieFail、Intel密钥泄漏等隐患。
-
攻击后果:固件级持久化控制、敏感数据泄露、设备沦为内网渗透跳板。
二、漏洞技术解析
-
Secure Boot防御全线崩塌
-
BootHole(CVE-2020-10713):利用Linux启动加载程序漏洞绕过Secure Boot,所有型号均受影响。
-
LogoFAIL:篡改UEFI固件中的LOGO图像触发恶意代码执行,PA-3260可被远程攻破。
-
固件供应链连环漏洞
-
SMM提权漏洞群(CVE-2022-24030等):通过InsydeH2O UEFI漏洞提升至系统管理模式(SMM),接管设备控制权。
-
PixieFail(UEFI网络协议栈漏洞):攻击者通过特制TCP/IP数据包在固件启动阶段实现远程代码执行。
-
物理攻击敞开后门
-
SPI闪存访问控制缺陷:PA-415因硬件设计缺陷,允许攻击者直接修改UEFI固件,物理接触即可植入Bootkit。
-
TPM 2.0越界写入(CVE-2023-1017):破坏可信平台模块完整性,伪造硬件级信任链。
三、供应链安全隐忧
"这些并非边缘案例漏洞,而是连消费级笔记本都不应存在的低级缺陷!"Eclypsium强调,安全设备供应链存在系统性风险:
-
停售设备仍藏雷:PA-3260虽已停售,但大量企业仍在沿用未修复固件;
-
UEFI固件层层失守:第三方供应商Insyde Software的代码缺陷直接威胁防火墙底层安全;
-
密钥管理失控:PA-1410的Intel BootGuard密钥泄漏,硬件级信任锚点遭瓦解。
四、企业防御紧急指南
Eclypsium联合建议企业立即行动:
-
固件升级:检查设备型号并安装Palo Alto官方补丁(部分漏洞需厂商定制修复);
-
物理防护:限制对PA-415等设备的物理接触,启用BIOS写保护功能;
-
供应链审计:要求安全设备供应商提供固件SBOM(软件物料清单)及第三方组件漏洞清单;
-
持续监控:部署固件完整性验证工具,实时检测UEFI及Bootloader异常。
五、行业警示
"安全设备本身正成为国家级APT组织的重点打击目标。"报告指出,防火墙、VPN网关等边缘安全设施因长期运行、缺乏EDR防护,已成供应链攻击的"隐形缺口"。企业需构建"零信任+固件安全"双体系,阻断从固件层发起的横向移动。
原文始发于微信公众号(技术修道场):高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论