高危！Palo Alto防火墙曝供应链级漏洞，Secure Boot绕过+固件篡改风险激增

原创 Hankzheng 技术修道场 2025-02-11 23:48

导语
：

全球知名安全厂商Palo Alto Networks多款企业级防火墙被曝存在”供应链级”高危漏洞！安全团队Eclypsium研究发现，攻击者可绕过Secure Boot保护
、篡改固件植入持久化后门，PA-3260、PA-1410、PA-415
三大型号成重灾区，企业核心防线恐沦为攻击跳板。

一、事件速览

• 漏洞家族
  ：统称PANdora’s Box
  ，涵盖11个高危漏洞
  ，涉及Secure Boot绕过、固件提权、内存越界写入等。

• 波及设备
  ：

• PA-3260
  （2023年8月停售）：存在BootHole、LogoFAIL等7项漏洞；

• PA-1410/PA-415
  （在售型号）：暴露PixieFail、Intel密钥泄漏等隐患。

• 攻击后果
  ：固件级持久化控制、敏感数据泄露、设备沦为内网渗透跳板。

二、漏洞技术解析

1. Secure Boot防御全线崩塌

2. BootHole（CVE-2020-10713）
   ：利用Linux启动加载程序漏洞绕过Secure Boot，所有型号均受影响
   。

3. LogoFAIL
   ：篡改UEFI固件中的LOGO图像触发恶意代码执行，PA-3260可被远程攻破
   。

4. 固件供应链连环漏洞

5. SMM提权漏洞群（CVE-2022-24030等）
   ：通过InsydeH2O UEFI漏洞提升至系统管理模式（SMM），接管设备控制权。

6. PixieFail（UEFI网络协议栈漏洞）
   ：攻击者通过特制TCP/IP数据包在固件启动阶段实现远程代码执行
   。

7. 物理攻击敞开后门

8. SPI闪存访问控制缺陷
   ：PA-415因硬件设计缺陷，允许攻击者直接修改UEFI固件，物理接触即可植入Bootkit
   。

9. TPM 2.0越界写入（CVE-2023-1017）
   ：破坏可信平台模块完整性，伪造硬件级信任链。

三、供应链安全隐忧

“这些并非边缘案例漏洞，而是连消费级笔记本都不应存在的低级缺陷！”Eclypsium强调，安全设备供应链存在系统性风险
：
– 停售设备仍藏雷
：PA-3260虽已停售，但大量企业仍在沿用未修复固件；

• UEFI固件层层失守
  ：第三方供应商Insyde Software的代码缺陷直接威胁防火墙底层安全；

• 密钥管理失控
  ：PA-1410的Intel BootGuard密钥泄漏，硬件级信任锚点遭瓦解。

四、企业防御紧急指南

Eclypsium联合建议企业立即行动：
1. 固件升级
：检查设备型号并安装Palo Alto官方补丁（部分漏洞需厂商定制修复）；

1. 物理防护
   ：限制对PA-415等设备的物理接触，启用BIOS写保护功能；

2. 供应链审计
   ：要求安全设备供应商提供固件SBOM（软件物料清单）及第三方组件漏洞清单；

3. 持续监控
   ：部署固件完整性验证工具，实时检测UEFI及Bootloader异常。

五、行业警示

“安全设备本身正成为国家级APT组织的重点打击目标。”报告指出，防火墙、VPN网关等边缘安全设施因长期运行、缺乏EDR防护
，已成供应链攻击的”隐形缺口”。企业需构建”零信任+固件安全”双体系，阻断从固件层发起的横向移动。