关于ZAKER 融媒体解决方案 合作 加入

PAN OS 操作系统曝“ 10 分”罕见漏洞,需立即修复

51CTO 06-30

作者:佚名来源:FreeBuf|2020-06-30 12:01

收藏

分享

今天,美国网络司令部发布 Twitter:" 请立即修补受 CVE-2020-2021 影响的所有设备,尤其是在使用 SAML 的情况下。"

PAN-OS 是一个运行在 Palo Alto Networks 防火墙和企业 VPN 设备上的操作系统,该操作系统被披露存在严重安全漏洞:CVE-2020-2021。

特殊的是,这是一个罕见地在 CVSS v3 漏洞严重等级中获得满分 10 分的安全漏洞。10 分,从危害程度上来说,意味着该漏洞不仅易于利用,不需要攻击者具备高级技术技能,而且还可以通过网络进行远程利用,无需攻击者具备对目标设备的初步了解。从技术上来说,这是一个身份验证绕过漏洞,允许攻击者无需提供有效凭据即可访问设备。

该漏洞一旦被利用,攻击者就可以更改 PAN OS 的设置和功能。尽管更改操作系统功能似乎影响不大,但该漏洞实际上可用于禁用防火墙或 VPN 访问控制策略,从而禁用整个 PAN-OS 设备。

漏洞影响

PAN-OS 设备必须处于特定配置中 ( 禁用 " 验证身份提供者证书 " 选项并且启用 SAML ) ,该漏洞才能被利用。

然而,在一些供应商手册上,指示了 PAN-OS 所有者在使用第三方身份提供程序时设置这种特定的配置,例如在 PAN-OS 设备上使用 Duo 身份验证,或 Centrify、Trusona、Okta 的第三方身份验证解决方案。目前,企业和政府部门中就广泛使用了 Duo 身份验证。

支持这两个选项的易遭到攻击的设备包括以下:

GlobalProtect 网关

GlobalProtect 门户

GlobalProtectClientless VPN

Authentication and Captive Portal

PAN-OS 下一代防火墙 ( PA 系列,VM 系列 ) 和 Panorama Web 界面

Prisma Access 系统

已知可运行 CVE-2020-2021 的易受攻击的 PAN OS 列表:

缓解措施

既然 PAN-OS 设备必须处于特定配置中,该漏洞才能被利用。因此,只要这些设备在 2 个设置中依然保持默认状态,不手动配置 " 禁用‘验证身份提供者证书’选项并且启用 SAML",那么安全性可以得到一定的保障。

<span><span><span><i mailto:sunsj@51cto.com赵宁宁 TEL:(010)68476606】

点赞 0

以上内容由"51CTO"上传发布 查看原文