CVE-2020-2021 漏洞影響 PAN-OS 防火墻和 VPN 設備
Palo Alto Networks已經修補了一個影響PAN-OS的關鍵且容易利用的漏洞(CVE-2020-2021),自定義操作系統運行在下一代防火墻和企業VPN設備上,并督促用戶盡快升級到固定版本。
美國網絡司令部(Cyber Command)響應了立即采取行動的呼吁,稱有國家支持的攻擊者可能很快就會試圖利用它。
關于漏洞(CVE-2020-2021)
CVE-2020-2021是一個認證繞過漏洞,該漏洞可能允許未經身份驗證的遠程攻擊者訪問和控制易受攻擊的設備,更改其設置,更改訪問控制策略,將其關閉等。
受影響的PAN-OS版本包括PAN-OS 9.1.3之前的版本;PAN-OS 9.0版本比PAN-OS 9.0.9早;PAN-OS 8.1比PAN-OS 8.1.15早,以及所有版本的PAN-OS 8.0 (EOL)。7.1版本不受影響。
此外,該漏洞僅當:
設備被配置為使用帶有單點登錄(SSO)的SAML身份驗證進行訪問管理
在SAML標識提供程序服務器配置文件中禁用(未選中)“驗證標識提供程序證書”選項
“可以被基于SAML的單點登錄(SSO)認證保護的資源有:GlobalProtect網關、GlobalProtect門戶、GlobalProtect無客戶VPN、認證和專屬門戶、PAN-OS下一代防火墻(PA系列,VM系列)和全景Web界面,以及Prisma訪問。”
雖然上述配置設置不是默認配置的一部分,但對于攻擊者來說,找到易受攻擊的設備似乎不是什么大問題。
研究員Satnam Narang指出“提供SSO、雙因素身份驗證和身份識別服務的知名組織似乎推薦這種[易受攻擊的]配置,或者可能只使用這種配置工作,”
這些提供商包括Okta、SecureAuth、SafeNet Trusted Access、Duo、Trusona via Azure AD、Azure AD和centrfy。
甚至PAN-OS 9.1用戶指南指導管理員禁用“驗證身份提供商證書”選項,當設置Duo集成:
帕洛阿爾托網絡公司表示,目前沒有跡象表明該漏洞受到了主動攻擊。
但是考慮到各種企業解決方案中的SSL VPN漏洞在過去一年左右被網絡犯罪分子和民族國家攻擊者大量利用,一旦一個可用的漏洞被開發出來,預計這個漏洞就會被利用。
要做什么嗎?
如前所述,實現安全更新是最佳解決方案。
如果可能的話,建議企業管理員升級到泛操作系統版本9.1.3、9.0.9或8.1.15。帕洛阿爾托網絡公司提供了如何在不破壞用戶身份驗證能力的情況下實現這一功能的說明。
如果不可能更新,可以通過使用不同的身份驗證方法和禁用SAML身份驗證來臨時減輕風險。
管理員可以檢查各種日志(認證日志、用戶id日志、GlobalProtect日志等)中的妥協指標。
