Təhlükəsizlik tədqiqatçıları Eclypsium, bir çox Palo Alto Networks yangın duvarında bir neçə səhvin olduğunu aşkar edirlər. Onlar bu çətinliyi ağır olduğunu iddia edirlər. Palo Alto Networks isə əgər əməliyyat sistemi yenilənmiş və təhlükəsizlik ayarları normaldırsa, risk olmadığını söyləyirlər.
Təhlükəsizlik tədqiqatçıları, Palo Alto Networks yangın duvarlarına sərtləşdirmə yaparaq, məhsulların əsas məqsedini sarsan ciddi çətinliklərin aşkar edildiyini söylədilər. Kibersənaye tədqiqatçıları Eclypsium, Palo Alto Networks’ün yangın duvarı firmware’ini təsirləyən bir sıra təhlükəsizlik çatışmazlıqlarını və yanlış təyin edilmiş təhlükəsizlik xüsusiyyətlərini təsvir edən bir hesabatı dərc etdi. Şirkət, təhlükəsizliklərin zəif olduğunu, onların vaxtda işlənməsinin çətin olduğunu və onları heç bir yerdə kullanılmadığını bildirdi.
LogoFAIL, PixieFAIL və digər çətinliklər
“Tədqiqatçılar bu çətinliklərin müəyyən, kölgəçi hal çətinlikləri olmadığını dedilər. “Bu əks halda, bunlar istifadəçi səviyyəli bir noutbukda də görmək gözləməyəcəyimiz çox məşhur məsələlərdi. Bu problemlər, hətta Əmin Boot kimi ən sadə mənbələri də özündə saxlamağa imkan verməyə, və cihaz firmware’ini dəyişdirməyə imkan verə bilər. “Eclypisum, çətinliklərin PA-3260, PA-1410 və PA-415-də tapıldığını söylədi. Birincisi 2023-cü ilin ortasında satışa çıxarıldı, digərləri isə dəstəklənir. Çətinliklər, CVE-2020-10713, CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323, və CVE-2021-45970, LogoFAIL, PixieFail, CVE-2023-1017 və Intel bootguard sızdırılmış açarlar bypass.Azalışdan sonra, The Hacker News şirkətə rəylərin tələb etmişdir. Palo Alto Networks, “müvafiq fəaliyyət üçün lazım olan senarilərin, normal şəraitlərdə ən yeni PAN-OS proqramında mövcud olmadığını və ən yaxşı praktika təlimatlarına əsasən təmin edilmiş idarəetmə interfeyslərinə verilmədiyini” deyə cavab verdi.
“Müştərilərin əvəzlənməsi tələb edəcək qarşınalma olmadığı halda, bu çətinlikləri istismar etmək üçün tələb olunan şərtləri izləyən PAN-OS proqramı istifadəçiləri və idarəetməçilərinə təqdim etmirik. Texnologiyamızın keyfiyyət və bütövətinin arkasında dururuq,” deyə əlavə etdi. “Bu çətinlikləri istismar etmək üçün lazım olan şərtlər istifadəçilərə və ya PAN-OS proqramının inzibatçılarına təqdim edilməyib, lazım olan həlllərin inkişafı üçün üçüncü tərəfli satıcı ilə əməkdaşlıq edirik. Məsələlərin hamısı əldə olduğunda vəzifəya düşdükdən sonra əhəmiyyətli müştərilərə əlavə yeniliklər və təlimatlar təmin edəcəyik.”