首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-2021 | PAN-OS SAML身份验证绕过误差通告

宣布时间 2020-06-30

0x00 误差概述

CVE ID	CVE-2020-2021	时间	2020-06-30
类型	AB	等级	严重
远程使用	是	影响规模

0x01 误差详情

Z6·尊龙凯时「中国区」官方网站

2020年6月29日，，，，Palo Alto Networks官方宣布清静通告，，，，修复了一个PAN-OS SAML身份验证绕过误差（CVE-2020-2021）。。。。。。。攻击者无需经由身份验证即可使用该误差会见装备。。。。。。。

在启用清静性断言标记语言（SAML）身份验证并禁用“验证身份提供商证书”选项时，，，，由于PAN-OS SAML身份验证历程中没有准确地验证署名，，，，导致未经身份验证的攻击者可以更改PAN OS的设置和功效。。。。。。。条件条件是攻击者必需可以会见易受攻击的效劳器，，，，才华使用此误差。。。。。。。

Z6·尊龙凯时「中国区」官方网站

该误差是在CVSSv3严重品级中获得10分的有数误差之一，，，，既不需要高级手艺手艺，，，，又可以通过Internet举行远程使用。。。。。。。美国网络司令部要求所有受CVE-2020-2021影响的装备连忙修复该误差，，，，并体现外国的APT组织可能很快就会实验使用该误差提倡攻击。。。。。。。

可以通过基于SAML的单点登录（SSO）身份验证�；；；；；；；さ淖试从校�

GlobalProtect Gateway,

GlobalProtect Portal,

GlobalProtect Clientless VPN,

Authentication and Captive Portal,

PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces

Prisma Access

关于GlobalProtect网关、GlobalProtect门户、无客户端VPN、Captive Portal和Prisma Access，，，，未经身份验证的攻击者可以通过网络会见效劳器上受�；；；；；；；さ淖试�，，，，不会影响网关，，，，门户或VPN效劳器的完整性和可用性，，，，但攻击者无法检查或改动通俗用户的会话。。。。。。。这是一个严重级别的误差，，，，CVSS评分10.0。。。。。。。

关于PAN-OS和Panorama Web界面，，，，若是未经身份验证的攻击者具有对PAN-OS或Panorama Web界面的会见权，，，，即可以治理员身份登录并执行治理操作。。。。。。。这是一个严重级别的误差，，，，CVSS评分10.0，，，，若是仅可通过受限治理网络会见Web界面，，，，则CVSS评分9.6。。。。。。。

以下是CVE-2020-2021误差影响的Palo Alto Networks PAN-OS版本：

Z6·尊龙凯时「中国区」官方网站

请相关用户尽快审查设置，，，，实时确认是否受到该误差影响，，，，详细要领如下：

? 仅当启用了SAML身份验证并且在“SAML身份提供商效劳器设置文件”中禁用“身份提供商证书”选项时，，，，才可以使用该误差。。。。。。。

? 若是不使用SAML举行身份验证，，，，则无法使用该误差。。。。。。。

? 若是在SAML身份提供商效劳器设置文件中启用了“验证身份提供商证书”选项，，，，则无法使用该误差。。。。。。。

关于怎样检查效劳器设置并实验缓解步伐的说明，，，，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 要检查是否在防火墙上启用了SAML身份验证，，，，请参考Device > Server Profiles > SAML Identity Provider；；；；；；；

? 要检查是否为Panorama治理员身份验证启用了SAML身份验证，，，，请参考Panorama >Server Profiles > SAML Identity Provider；；；；；；；

? 要检查是否为Panorama治理的防火墙启用了SAML身份验证，，，，请参考Device > [template]> Server Profiles > SAML Identity Provider。。。。。。。

凭证设置，，，，任何未经授权的会见都会纪录在系统日志中，，，，可是很难区分有用登录名和恶意登录名。。。。。。。

0x02 处置惩罚建议

官方已宣布PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3和更高版本，，，，请相关用户实时升级。。。。。。。

注重：在升级到牢靠版本之前，，，，请确保将SAML身份提供商的署名证书设置为“身份提供商证书”，，，，以确保用户可以继续举行身份验证。。。。。。。请参考：https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication

? PAN-OS升级之前和之后所需的所有操作的详细信息，，，，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 为了扫除GlobalProtect门户和网关上的未授权会话，，，，Prisma Access通过Panorama治理，，，，请使用Panorama更改Authentication Override cookie的设置。。。。。。。请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXy

重新启动防火墙和Panorama可以扫除Web界面上的任何未经授权的会话。。。。。。。

? 要扫除Captive Portal中的任何未授权用户会话，，，，请执行以下办法：

运行以下下令

show user ip-user-mapping all type SSO

关于返回的所有IP，，，，请运行以下两个下令以扫除用户：

clear user-cache-mp

clear user-cache

? PAN-OS 8.0已终止支持（阻止2019年10月31日），，，，不再维护。。。。。。。

所有Prisma Access效劳均已升级以解决此问题，，，，并且不再易受攻击。。。。。。。Prisma Access客户不需要对SAML或IdP设置举行任何更改。。。。。。。

暂时步伐：

? 使用其他身份验证要领并禁用SAML身份验证；；；；；；；

? 在执行升级之前，，，，同时应用（a）和（b）两项缓解步伐。。。。。。。

（a）确保已设置“身份提供商证书”。。。。。。。设置“身份提供商证书”是清静SAML身份验证设置的主要组成部分。。。。。。。

（b）若是身份提供商（IDP）证书是证书揭晓机构（CA）署名的证书，，，，则确保在SAML身份提供商效劳器设置文件中启用了“身份提供商证书”选项。。。。。。。默认情形下，，，，许多盛行的IDP都会天生自署名IDP证书，，，，并且无法启用“验证身份提供商证书”选项。。。。。。。要使用由CA署名的证书，，，，可能需要执行其他办法。。。。。。。该证书可以由内部企业CA，，，，PAN OS上的CA或公共CA署名。。。。。。�？？？？？稍趆ttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXP上获取有关在IDP上设置CA揭晓的证书的说明。。。。。。。

0x03 相关新闻

https://www.zdnet.com/article/us-cyber-command-says-foreign-hackers-will-most-likely-exploit-new-pan-os-security-bug/

0x04 参考链接

https://security.paloaltonetworks.com/CVE-2020-2021?from=timeline&isappinstalled=0

0x05 时间线

2020-06-29 Palo Alto Networks宣布清静通告

2020-06-30 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

CVE-2020-2021 | PAN-OS SAML身份验证绕过误差通告

关于Z6尊龙凯时

解决计划

联系Z6尊龙凯时

7*24小时效劳热线