首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-2021 | PAN-OS SAML身份验证绕过缝隙公告

颁布功夫 2020-06-30

0x00 缝隙概述

CVE ID	CVE-2020-2021	时间	2020-06-30
类型	AB	等级	严沉
远程利用	是	影响领域

0x01 缝隙详情

GA黄金甲·(中国区)官方网站

2020年6月29日，Palo Alto Networks官方颁布安全布告，建复了一个PAN-OS SAML身份验证绕过缝隙（CVE-2020-2021）。攻击者无需经过身份验证即可利用该缝隙接见设备。

在启用安全性断言象征说话（SAML）身份验证并禁用“验证身份提供商证书”选项时，由于PAN-OS SAML身份验证过程中没有正确地验证署名，导致未经身份验证的攻击者能够更改PAN OS的设置和职能。前提前提是攻击者必须能够接见易受攻击的服务器，能力利用此缝隙。

GA黄金甲·(中国区)官方网站

该缝隙是在CVSSv3严沉等级中获得10分的罕见缝隙之一，既不必要高级技术技术，又能够通过Internet进行远程利用。美国网络司令部要求所有受CVE-2020-2021影响的设备当即建复该缝隙，并暗示表国的APT组织可能很快就会尝试利用该缝隙提议攻击。

能够通过基于SAML的单点登录（SSO）身份验证�；さ淖试从校�

GlobalProtect Gateway,

GlobalProtect Portal,

GlobalProtect Clientless VPN,

Authentication and Captive Portal,

PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces

Prisma Access

对于GlobalProtect网关、GlobalProtect门户、无客户端VPN、Captive Portal和Prisma Access，未经身份验证的攻击者能够通过网络接见服务器上受�；さ淖试�，不会影响网关，门户或VPN服务器的齐全性和可用性，但攻击者无法查抄或篡改通常用户的会话。这是一个严沉级此外缝隙，CVSS评分10.0。

对于PAN-OS和Panorama Web界面，若是未经身份验证的攻击者拥有对PAN-OS或Panorama Web界面的接见权，即能够治理员身份登录并执行治理操作。这是一个严沉级此外缝隙，CVSS评分10.0，若是仅可通过受限治理网络接见Web界面，则CVSS评分9.6。

以下是CVE-2020-2021缝隙影响的Palo Alto Networks PAN-OS版本：

GA黄金甲·(中国区)官方网站

请有关用户尽快查看配置，实时确认是否受到该缝隙影响，具体步骤如下：

? 仅当启用了SAML身份验证并且在“SAML身份提供商服务器配置文件”中禁用“身份提供商证书”选项时，能力够利用该缝隙。

? 若是不使用SAML进行身份验证，则无法利用该缝隙。

? 若是在SAML身份提供商服务器配置文件中启用了“验证身份提供商证书”选项，则无法利用该缝隙。

关于若何查抄服务器配置并执行缓解措施的注明，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 要查抄是否在防火墙上启用了SAML身份验证，请参考Device > Server Profiles > SAML Identity Provider；

? 要查抄是否为Panorama治理员身份验证启用了SAML身份验证，请参考Panorama >Server Profiles > SAML Identity Provider；

? 要查抄是否为Panorama治理的防火墙启用了SAML身份验证，请参考Device > [template]> Server Profiles > SAML Identity Provider。

凭据配置，任何未经授权的接见城市纪录在系统日志中，但是很难分辨有效登录名和恶意登录名。

0x02 措置建议

官方已颁布PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3和更高版本，请有关用户实时升级。

把稳：在升级到固定版本之前，请确保将SAML身份提供商的署名证书配置为“身份提供商证书”，以确保用户能够持续进行身份验证。请参考：https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication

? PAN-OS升级之前和之后所需的所有操作的具体信息，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 为了断根GlobalProtect门户和网关上的未授权会话，Prisma Access通过Panorama治理，请使用Panorama更改Authentication Override cookie的配置。请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXy

沉新启动防火墙和Panorama能够断根Web界面上的任何未经授权的会话。

? 要断根Captive Portal中的任何未授权用户会话，请执行以下步骤：

运行以下号令

show user ip-user-mapping all type SSO

对于返回的所有IP，请运行以下两个号令以断根用户：

clear user-cache-mp

clear user-cache

? PAN-OS 8.0已终止支持（截至2019年10月31日），不再守护。

所有Prisma Access服务均已升级以解决此问题，并且不再易受攻击。Prisma Access客户不必要对SAML或IdP配置进行任何更改。

一时措施：

? 使用其他身份验证步骤并禁用SAML身份验证；

? 在执行升级之前，同时利用（a）和（b）两项缓解措施。

（a）确保已配置“身份提供商证书”。配置“身份提供商证书”是安全SAML身份验证配置的沉要组成部门。

（b）若是身份提供商（IDP）证书是证书宣告机构（CA）署名的证书，则确保在SAML身份提供商服务器配置文件中启用了“身份提供商证书”选项。默认情况下，很多盛行的IDP城市天生自署名IDP证书，并且无法启用“验证身份提供商证书”选项。要使用由CA署名的证书，可能必要执行其他步骤。该证书能够由内部企业CA，PAN OS上的CA或公共CA署名�？稍趆ttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXP上获取有关在IDP上配置CA宣告的证书的注明。

0x03 有关新闻

https://www.zdnet.com/article/us-cyber-command-says-foreign-hackers-will-most-likely-exploit-new-pan-os-security-bug/

0x04 参考链接

https://security.paloaltonetworks.com/CVE-2020-2021?from=timeline&isappinstalled=0

0x05 功夫线

2020-06-29 Palo Alto Networks颁布安全布告

2020-06-30 VSRC颁布缝隙公告

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

CVE-2020-2021 | PAN-OS SAML身份验证绕过缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线