Pesquisadores da empresa de segurança Eclypsium identificaram várias vulnerabilidades antigas nos firewalls da Palo Alto Networks, incluindo falhas conhecidas no bootloader Grub2, datadas de 2020, e no firmware UEFI do Insyde, divulgadas em 2022. Essas falhas permitem contornar o Secure Boot, obter privilégios administrativos no sistema e instalar malware persistente. Os modelos afetados incluem PA-3260, PA-1410 e PA-415, que também apresentam vulnerabilidades como LogoFail e PixieFail.
Leia também
EUA lançam plano para implantar estratégia cibersegurança
Ataque complexo planta o backdoor SmokedHam
A vulnerabilidade Grub2, segundo a Palo Alto Networks, não pode ser explorada em condições normais, pois exige que o invasor já tenha comprometido o sistema e obtido privilégios de root no Linux. Em relação ao UEFI, a empresa confirma que está trabalhando em atualizações de firmware, mas não forneceu uma previsão para o lançamento. No caso de LogoFail, a Palo Alto Networks afirma que a exploração não é possível a partir do sistema operacional, enquanto PixieFail não afeta os dispositivos porque a pilha de rede do BIOS está desativada.
Apesar disso, os pesquisadores ressaltam que essas falhas podem ser exploradas em cadeias de ataque, como demonstrado anteriormente pela empresa watchTowr, que conseguiu obter privilégios de root nos firewalls. Embora algumas vulnerabilidades exijam acesso físico, a Palo Alto Networks recomenda limitar o acesso a esses dispositivos como medida preventiva, enquanto trabalha em correções para as falhas identificadas.
