一、基本情况

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。

近日,监测发现Palo Alto官方发布了SAML身份验证机制绕过的风险通告,该漏洞编号为CVE-2020-2021,当SAML开启,同时Validate Identity Provider Certificate(验证身份提供者证书)选项关闭时,未经身份验证的远程攻击者可以通过该漏洞绕过SAML身份验证机制访问受保护的资源。

漏洞评级:高危

二、攻击原理

该漏洞有三个前置利用条件:

1、使用SAML身份验证机制进行身份验证。

2、Validate Identity Provider Certificate(验证身份提供者证书)选项关闭。

3、远程攻击者可以访问到存在漏洞的服务器。

只要符合以上三点,且基于SAML单点登录身份验证保护的资源,都受到该漏洞的影响:

  • GlobalProtect Gateway

  • GlobalProtect Portal

  • GlobalProtect Clientless VPN

  • Authentication and Captive Portal

  • PAN-OS next-generation firewalls (PA-Series, VM-Series)

  • Panorama web interfaces

  • Prisma Access

对于GlobalProtect Gateways、GlobalProtect Portal、Clientless VPN、Captive Portal和Prisma Access这几个产品来说,未经身份验证的攻击者可以通过该漏洞绕过目标服务器的身份验证机制,访问到受到保护的资源。但是攻击者无法影响产品的完整性,也无法篡改普通用户的会话。

对于PAN-OS及Panorama web interfaces这两款产品来说,未经身份验证的攻击者可以以管理员的身份登录到产品的后台,并有权执行对应的管理操作。

三、 影响范围

  • PAN-OS 9.1:<9.1.3版本
  • PAN-OS 9.0:<9.0.9版本
  • PAN-OS 8.1:<8.1.15版本
  • PAN-OS 8.0:全版本

该漏洞不影响PAN-OS 7.1版本。

四、 处置建议

  • PAN-OS 9.1:升级到PAN-OS 9.1.3版本

  • PAN-OS 9.0:升级到PAN-OS 9.0.9版本

  • PAN-OS 8.1:升级到PAN-OS 8.1.15版本

  • PAN-OS 8.0:PAN-OS 8.0已于2019年10月31日停止维护,建议用户更新到最新版本。

五、参考链接

https://security.paloaltonetworks.com/CVE-2020-2021

支持单位:

三六零安全科技股份有限公司

中国信息通信研究院

声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。