首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-2021 | PAN-OS SAML身份驗證繞過漏洞通告

發布時間 2020-06-30

0x00 漏洞概述



CVE   ID

CVE-2020-2021

   

2020-06-30

類  型

AB

   

嚴重

遠程利用

影響范圍


0x01 漏洞詳情



2020年6月29日,Palo Alto Networks官方發布安全公告,修復了一個PAN-OS SAML身份驗證繞過漏洞(CVE-2020-2021)。攻擊者無需經過身份驗證即可利用該漏洞訪問設備。

在啟用安全性斷言標記語言(SAML)身份驗證并禁用“驗證身份提供商證書”選項時,由于PAN-OS SAML身份驗證過程中沒有正確地驗證簽名,導致未經身份驗證的攻擊者可以更改PAN OS的設置和功能。前提條件是攻擊者必須可以訪問易受攻擊的服務器,才能利用此漏洞。



該漏洞是在CVSSv3嚴重等級中獲得10分的罕見漏洞之一,既不需要高級技術技能,又可以通過Internet進行遠程利用。美國網絡司令部要求所有受CVE-2020-2021影響的設備立即修復該漏洞,并表示外國的APT組織可能很快就會嘗試利用該漏洞發起攻擊。

可以通過基于SAML的單點登錄(SSO)身份驗證保護的資源有:

GlobalProtect Gateway,

GlobalProtect Portal,

GlobalProtect Clientless VPN,

Authentication and Captive Portal,

PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces

Prisma Access

對于GlobalProtect網關、GlobalProtect門戶、無客戶端VPN、Captive Portal和Prisma Access,未經身份驗證的攻擊者可以通過網絡訪問服務器上受保護的資源,不會影響網關,門戶或VPN服務器的完整性和可用性,但攻擊者無法檢查或篡改普通用戶的會話。這是一個嚴重級別的漏洞,CVSS評分10.0。

對于PAN-OS和Panorama Web界面,如果未經身份驗證的攻擊者具有對PAN-OS或Panorama Web界面的訪問權,即可以管理員身份登錄并執行管理操作。這是一個嚴重級別的漏洞,CVSS評分10.0,如果僅可通過受限管理網絡訪問Web界面,則CVSS評分9.6。

以下是CVE-2020-2021漏洞影響的Palo Alto Networks PAN-OS版本:




請相關用戶盡快查看配置,及時確認是否受到該漏洞影響,具體方法如下:

? 僅當啟用了SAML身份驗證并且在“SAML身份提供商服務器配置文件”中禁用“身份提供商證書”選項時,才可以利用該漏洞。

? 如果不使用SAML進行身份驗證,則無法利用該漏洞。

? 如果在SAML身份提供商服務器配置文件中啟用了“驗證身份提供商證書”選項,則無法利用該漏洞。

關于如何檢查服務器配置并實施緩解措施的說明,請參考:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 要檢查是否在防火墻上啟用了SAML身份驗證,請參考Device > Server Profiles > SAML Identity Provider;

? 要檢查是否為Panorama管理員身份驗證啟用了SAML身份驗證,請參考Panorama >Server Profiles > SAML Identity Provider;

? 要檢查是否為Panorama管理的防火墻啟用了SAML身份驗證,請參考Device > [template]> Server Profiles > SAML Identity Provider。

根據配置,任何未經授權的訪問都會記錄在系統日志中,但是很難區分有效登錄名和惡意登錄名。


0x02 處置建議


官方已發布PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3和更高版本,請相關用戶及時升級。

注意:在升級到固定版本之前,請確保將SAML身份提供商的簽名證書配置為“身份提供商證書”,以確保用戶可以繼續進行身份驗證。請參考:https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication

? PAN-OS升級之前和之后所需的所有操作的詳細信息,請參考:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 為了清除GlobalProtect門戶和網關上的未授權會話,Prisma Access通過Panorama管理,請使用Panorama更改Authentication Override cookie的配置。請參考:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXy

重新啟動防火墻和Panorama可以清除Web界面上的任何未經授權的會話。

? 要清除Captive Portal中的任何未授權用戶會話,請執行以下步驟:

運行以下命令

show user ip-user-mapping all type SSO

對于返回的所有IP,請運行以下兩個命令以清除用戶:

clear user-cache-mp

clear user-cache

? PAN-OS 8.0已終止支持(截至2019年10月31日),不再維護。

所有Prisma Access服務均已升級以解決此問題,并且不再易受攻擊。Prisma Access客戶不需要對SAML或IdP配置進行任何更改。

臨時措施:

? 使用其他身份驗證方法并禁用SAML身份驗證;

? 在執行升級之前,同時應用(a)和(b)兩項緩解措施。

(a)確保已配置“身份提供商證書”。配置“身份提供商證書”是安全SAML身份驗證配置的重要組成部分。

(b)如果身份提供商(IDP)證書是證書頒發機構(CA)簽名的證書,則確保在SAML身份提供商服務器配置文件中啟用了“身份提供商證書”選項。默認情況下,許多流行的IDP都會生成自簽名IDP證書,并且無法啟用“驗證身份提供商證書”選項。要使用由CA簽名的證書,可能需要執行其他步驟。該證書可以由內部企業CA,PAN OS上的CA或公共CA簽名??稍趆ttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXP上獲取有關在IDP上配置CA頒發的證書的說明。


0x03 相關新聞


https://www.zdnet.com/article/us-cyber-command-says-foreign-hackers-will-most-likely-exploit-new-pan-os-security-bug/


0x04 參考鏈接


https://security.paloaltonetworks.com/CVE-2020-2021?from=timeline&isappinstalled=0


0x05 時間線


2020-06-29 Palo Alto Networks發布安全公告

2020-06-30 VSRC發布漏洞通告







上一篇 下一篇