首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-2050 | PAN-OS身份驗證繞過漏洞通告

發布時間 2020-11-12

0x00 漏洞概述

CNVD   ID

CVE-2020-2050

時      間

2020-11-12

類    型

身份驗證繞過

等      級

高危

遠程利用

影響范圍

<10.0.1

<9.1.5

 <9.0.11

 <8.1.17

 

0x01 漏洞詳情

image.png 

2020年11月11日,Palo Alto Networks發布安全通告,PAN-OS的GlobalProtect SSL VPN組件中存在一個身份驗證繞過漏洞(CVE-2020-2050),其CVSS評分8.2。

當網關的身份驗證方式配置為完全基于證書時,攻擊者可以利用此漏洞繞過所有使用無效證書的客戶端證書檢查,并能夠以任何用戶的身份進行身份驗證,最終獲得對VPN網絡資源的訪問權限。

將SSL VPN配置為客戶端證書驗證影響的功能包括:

GlobalProtect Gateway

GlobalProtect Portal

GlobalProtect Clientless VPN

在將客戶端證書驗證與其它身份驗證方法結合使用的情況下,此漏洞將使得證書添加的保護被忽略。

此漏洞會影響使用GlobalProtect SSL VPN并將網關和門戶網站配置為允許用戶使用客戶端證書身份驗證的PAN OS設備。此外,如果使用了客戶端證書認證,則基于IPSec的VPN也將受到影響。如果未使用客戶端證書進行身份驗證,則無法利用此漏洞。


0x02 處置建議

目前Palo Alto Networks已經發布了更新版本。建議參考下表及時升級:

版本號

受影響版本

更新版本

PAN OS 10.0

<10.0.1

> = 10.0.1

PAN OS 9.1

<9.1.5

> = 9.1.5

PAN OS 9.0

<9.0.11

> = 9.0.11

PAN OS 8.1

<8.1.17

> = 8.1.17

 

臨時措施:

將GlobalProtect SSL VPN配置為要求用戶使用其憑證進行身份驗證。

下載鏈接:

https://www.paloaltonetworks.com/search

0x03 參考鏈接

https://security.paloaltonetworks.com/CVE-2020-2050

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2050

0x04 時間線

2020-11-11  Palo Alto Networks發布安全公告

2020-11-12  VSRC發布安全通告

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

 

image.png 

 

 

上一篇 下一篇