Análisis revelan múltiples fallos críticos en firewalls de Palo Alto Networks

Un estudio exhaustivo realizado por la firma de seguridad Eclypsium sobre tres modelos de firewalls de Palo Alto Networks ha expuesto una serie de vulnerabilidades conocidas en el firmware de estos dispositivos, así como errores de configuración que comprometen sus funciones de protección. Las fallas, agrupadas bajo el nombre PANdora’s Box (un juego de palabras entre Palo Alto Networks y el mito de la Caja de Pandora), incluyen desde bypasses de Secure Boot hasta ejecución remota de código, poniendo en riesgo la integridad de redes empresariales.

El informe señala que los fallos identificados no son problemas marginales, sino vulnerabilidades ampliamente documentadas que, en palabras de Eclypsium, “ni siquiera esperaríamos verlo en un ordenador doméstico”. Entre las vulnerabilidades más críticas destacan:

1. BootHole (CVE-2020-10713):

• Modelos afectados: PA-3260, PA-1410 y PA-415.
• Riesgo: Desbordamiento de búfer (buffer overflow) que permite evadir Secure Boot en sistemas Linux, facilitando la instalación de malware durante el arranque.

2. Vulnerabilidad en firmware InsydeH20 (CVE-2022-24030 y otros):

• Modelo afectado: PA-3260.
• Riesgo: Errores en el System Management Mode (SMM) del firmware UEFI que podrían escalar privilegios y desactivar Secure Boot.

3. LogoFAIL: 

• Modelo afectado: PA-3260.
• Riesgo: Explotación de bibliotecas de imágenes en el firmware UEFI para ejecutar código malicioso durante el inicio del sistema.

4. PixieFail (PA-1410 y PA-415):

• Riesgo: Fallos en la pila TCP/IP del firmware UEFI que permiten ejecución remota de código y filtración de información sensible.

5. Acceso inseguro a memoria flash (PA-415):

• Riesgo: Configuraciones defectuosas en controles de acceso SPI flash, permitiendo modificar el firmware UEFI y evadir mecanismos de seguridad.

6. CVE-2023-1017 (PA-415): 

• Riesgo: Escritura fuera de límites (out-of-bounds) en la biblioteca de especificaciones del Módulo de Plataforma Segura (TPM 2.0).

7. Bypass de claves Intel BootGuard (PA-1410):

• Riesgo: Uso de claves criptográficas comprometidas para eludir protecciones de arranque seguro.

Modelos impactados y estado de soporte:

• PA-3260: Declarado end-of-sale (fin de venta) en agosto de 2023.
• PA-1410 y PA-415: Modelos aún soportados oficialmente por Palo Alto Networks.

La empresa aseguró que la seguridad de los clientes es prioridad máxima y que su equipo de respuesta a incidentes (PSIRT) evaluó las vulnerabilidades. Según la compañía, los escenarios de explotación no existen en dispositivos actualizados en PAN-OS bajo condiciones normales y con interfaces de gestión configuradas según mejores prácticas. Además, afirmó no tener registros de ataques activos aprovechando estos fallos y destacó que colabora con proveedores externos para desarrollar mitigaciones.

Recomendaciones para usuarios:

1. Actualizar PAN-OS inmediatamente: asegurarse de que todos los firewalls ejecuten la última versión del sistema operativo.
2. Restringir acceso administrativo: limitar las interfaces de gestión a redes confiables y emplear autenticación multifactor (MFA).
3. Auditar configuraciones: verificar que Secure Boot y otras protecciones de firmware estén habilitadas y correctamente configuradas.
4. Monitorizar actividad UEFI: implementar herramientas que detecten modificaciones no autorizadas en el firmware.
5. Plan de sustitución para PA-3260: Reemplazar modelos obsoletos con dispositivos soportados y seguros.

Este caso resalta los riesgos asociados a la seguridad de la cadena de suministros, especialmente en componentes de firmware desarrollados por terceros (como Insyde Software). Sectores como finanzas, energía o defensa, que dependen de estos firewalls, son particularmente vulnerables a ataques de ransomware o espionaje.

Más información:

• Palo Alto Networks firewalls have UEFI flaws, Secure Boot bypasses https://www.csoonline.com/article/3809061/palo-alto-networks-firewalls-have-uefi-flaws-secure-boot-bypasses.html
• Palo Alto firewalls found vulnerable to Secure Boot bypass and firmware exploits https://thehackernews.com/2025/01/palo-alto-firewalls-found-vulnerable-to.html
• PANdora’s Box: vulnerabilities found in NGFW https://eclypsium.com/research/pandoras-box-vulns-in-security-appliances/