Palo Alto Networks已修补了一个严重且易于利用的漏洞(CVE-2020-2021),此漏洞影响PAN-OS。PAN-OS是在其下一代防火墙和企业VPN设备上运行的自定义操作系统,并敦促用户尽快更新至固定版本。
美国网络司令部呼应立即采取行动的呼吁,称民族国家支持的攻击者可能会尽快尝试利用它。
请立即修补受CVE-2020-2021影响的所有设备,尤其是在使用SAML的情况下。外国APT可能会很快尝试利用。感谢@PaloAltoNtwks对此漏洞的积极响应。
https://t.co/WwJdil5X0F
— USCYBERCOM网络安全警报(@CNMF_CyberAlert)2020年6月29日
CVE-2020-2021是一个身份验证绕过漏洞,它可能允许未经身份验证的远程攻击者访问和控制易受攻击的设备,更改其设置,更改访问控制策略,将其关闭等。
受影响的PAN OS版本包括早于PAN OS 9.1.3的版本。早于PAN-OS 9.0.9的PAN-OS 9.0版本;早于PAN-OS 8.1.15的PAN-OS 8.1版本以及PAN-OS 8.0(EOL)的所有版本。7.1版不受影响。
此外,仅在以下情况下才可利用此漏洞:
设备配置为使用SAML身份验证和单点登录(SSO)进行访问管理
SAML身份提供程序服务器配置文件中的“验证身份提供程序证书”选项被禁用(未选中)
“可以通过基于SAML的单点登录(SSO)身份验证保护的资源是GlobalProtect网关、GlobalProtect门户、GlobalProtect无客户端VPN、身份验证和强制门户、PAN-OS下一代防火墙(PA系列,VM系列)和Panorama网站界面以及Prisma Access,” Palo Alto Networks 共享。
尽管上述配置设置不是默认配置的一部分,但是对于攻击者来说,找到易受攻击的设备似乎不是什么大问题。
“值得一提的研究人员Satnam Narang 指出:“提供SSO、双因素身份验证和身份服务的著名组织似乎推荐此[脆弱的]配置,或者可能仅使用此配置才能工作。
这些提供商包括Okta、SecureAuth、SafeNet Trusted Access、Duo、通过Azure AD、Austral AD和Centrify的Trusona。
甚至PAN-OS 9.1用户指南也指示管理员禁用“验证身份提供者证书”选项,该选项在设置Duo集成时:
PAN-OS 9.1用户指南,显然是最后更新于4天前(6月25日),指示管理员在设置DUO集成时执行此操作。
“禁用验证身份提供者证书,然后单击确定。” pic.twitter.com/KLd78oImzs
-Will Dormann(@wdormann)2020年6月29日
Palo Alto Networks表示,目前没有迹象表明该漏洞正在受到积极攻击。
但是考虑到各种企业解决方案中的SSL VPN漏洞在过去一年左右的时间里已被网络罪犯和民族国家的攻击者广泛 利用,因此,预计这种漏洞将在开发出有效的漏洞后尽快出现。
如前所述,实施安全更新是最好的解决方案。
建议企业管理员尽可能升级到PAN-OS版本9.1.3、9.0.9或8.1.15。帕洛阿尔托网络(Palo Alto Networks)已提供了有关执行此操作的说明,但不会破坏用户的验证功能。
如果无法进行更新,则可以通过使用其他身份验证方法并禁用SAML身份验证来暂时减轻风险。
管理员可以检查各种日志(身份验证日志、用户ID日志、GlobalProtect日志等)中是否存在危害指标。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!