Palo Alto 방화벽에서 Secure Boot 우회 및 펌웨어 취약점 발견

Palo Alto Firewalls Found Vulnerable to Secure Boot Bypass and Firmware Exploits

 

• 개요
  • Palo Alto Networks 방화벽 3개 모델(PA-3260, PA-1410, PA-415)에서 Secure Boot 우회 및 펌웨어 보안 취약점 다수 발견
  • 공격자가 악용할 경우 보안 장비 자체가 침해되어 네트워크 보호 기능을 무력화할 수 있음
  • 발견된 취약점들은 PANdora's Box라는 이름으로 명명됨
• 발견된 주요 취약점
  • CVE-2020-10713 (BootHole)
    • PA-3260, PA-1410, PA-415 모델에서 발견
    • Secure Boot 활성화된 리눅스 시스템에서 우회 가능한 버퍼 오버플로우(Buffer Overflow) 취약점
  • CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323, CVE-2021-45970
    • PA-3260 모델에서 발견
    • InsydeH2O UEFI 펌웨어의 시스템 관리 모드(System Management Mode, SMM) 취약점으로, 권한 상승 및 Secure Boot 우회 가능
  • LogoFAIL
    • PA-3260 모델에서 발견
    • UEFI 코드 내 이미지 파싱 라이브러리 결함을 악용하여 Secure Boot를 우회하고 악성 코드 실행
  • PixieFail
    • PA-1410, PA-415 모델에서 발견
    • UEFI 참조 구현 내 TCP/IP 네트워크 프로토콜 스택 취약점으로, 코드 실행 및 정보 유출 가능
  • SPI 플래시 접근 통제 미흡
    • PA-415 모델에서 발견
    • SPI 플래시의 잘못된 접근 제어로 인해 공격자가 UEFI 직접 수정 가능
  • CVE-2023-1017
    • PA-415 모델에서 발견
    • 신뢰 플랫폼 모듈(Trusted Platform Module, TPM) 2.0의 Out-of-Bounds Write 취약점
  • Intel BootGuard 우회
    • PA-1410 모델에서 발견
    • Intel BootGuard 키 유출을 통한 보안 우회 가능
• 보안 업계 및 Palo Alto Networks의 대응
  • 보안 연구업체 Eclypsium은 해당 취약점이 소비자용 장치에서도 보기 힘든 수준의 심각한 결함이라고 평가
    • 공격자가 펌웨어를 조작하면 Secure Boot 기능 자체를 우회하여 방화벽을 완전히 장악할 수 있음
  • Palo Alto Networks의 대응
    • 해당 취약점들이 업데이트된 PAN-OS 환경에서 쉽게 악용될 가능성은 낮다고 주장
    • 최신 PAN-OS 버전 사용 및 관리 인터페이스 보안 설정을 준수하면 공격 위험이 현저히 줄어든다고 강조
    • PA-3200, PA-5200, PA-7200 시리즈의 일부 장비에서 취약점이 영향을 줄 수 있으며, 해당 장비에 대한 추가 펌웨어 패치를 준비 중
• 결론
  • 최신 PAN-OS 버전으로 업그레이드 필수
  • 관리 인터페이스 접근을 제한하여 원격 공격 가능성을 최소화
  • Palo Alto 방화벽이 주요 네트워크 보안 장비인 만큼 지속적인 보안 모니터링 및 장비 무결성 검증 필요
  • 공급망 보안 강화를 위해 벤더의 보안 관리 프로세스 점검 필요