关键脆弱性率最高10分之10
一个新发现的批判验证美国网络司令部警告说,帕洛阿尔托防火墙和VPN的旁路漏洞已经成熟。
根据CVSSV3.1量表,PAN-OS安全漏洞(CVE-2020-2021)的严重程度最高为10分。Pan-OS是Palo Alto的自定义操作系统。
该问题源于对密码签名的不当验证,作为一种咨询帕洛阿尔托解释说。
“When Security Assertion Markup Language (SAML) authentication is enabled and the ‘Validate Identity Provider Certificate’ option is disabled (unchecked), improper verification of signatures in PAN-OS SAML authentication enables an unauthenticated network-based attacker to access protected resources,” it said. “The attacker must have network access to the vulnerable server to exploit this vulnerability.”
如果成功利用脆弱性为未经身份验证的远程攻击者创建一种手段,以在网络安全公用事业公司Tenable Notes中获得对“受保护资源”的访问。“在这种情况下,最理想的目标是Palo Alto Networks的Global Protect VPN。”博客文章。
该漏洞在PAN-OS 8.1.15,PAN-OS 9.0.9,PAN-OS 9.1.3和所有后期版本中解决。
SSL VPN设备中的类似缺陷,包括Pulse Connect Secure中的漏洞(CVE-2019-11510)和Citrix应用程序交付控制器和网关(CVE-2019-19781),去年出现的是在有针对性攻击的持续运行中被利用。Palo Alto Networks GlobalProtect中的先前漏洞(CVE-2019-1579)也受到打击。
“网络犯罪分子资本利用了概念证明(POC)利用漏洞的代码,并在各种攻击中都利用了这些代码,从民族国家的威胁到轻率勒索软件攻击,”根据Tenable的说法。
你可以叫我saml
安全漏洞仅限于企业在其安全设备设置中使用基于SAML的身份验证的情况。因此,使用替代身份验证方法可以缓解瑕疵,如Palo Alto的咨询中所述。
PAN-OS设备可以配置为使用单登录(SSO)进行访问管理的SAML身份验证。身份提供商通常建议使用此设置,包括二人组,Okta,Azure AD等,因此潜在脆弱系统的数量可能很高。
禁用证书验证是攻击的另一个必要先决条件,但这在企业中同样是常见的。使用SAML身份验证与单登录和禁用证书验证的组织数量是不清楚。
帕洛阿尔托(Palo Alto)将莫纳什大学(Monash University)身份服务团队的网络风险和弹性团队和卡梅隆·鸭(Cameron Duck)归功于发现和报告安全缺陷。
这家网络公司表示,“不知道有任何恶意试图利用这种脆弱性”。到目前为止,此漏洞还没有可用的POC代码。
安全专家,包括与美国军方相关的专家,但仍然抽搐。
美国网络司令部推文:“请立即修补受CVE-2020-2021影响的所有设备,尤其是在使用SAML的情况下。外国公寓可能很快会尝试利用。”
