首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-2021 | PAN-OS SAML身份验证绕过误差通告

宣布时间 2020-06-30

0x00 误差概述

CVE ID	CVE-2020-2021	时间	2020-06-30
类型	AB	等级	严重
远程使用	是	影响规模

0x01 误差详情

凯发·k8(中国游)官方网站

2020年6月29日，，，，，Palo Alto Networks官方宣布清静通告，，，，，修复了一个PAN-OS SAML身份验证绕过误差（CVE-2020-2021）。。。。攻击者无需经由身份验证即可使用该误差会见装备。。。。

在启用清静性断言标记语言（SAML）身份验证并禁用“验证身份提供商证书”选项时，，，，，由于PAN-OS SAML身份验证历程中没有准确地验证署名，，，，，导致未经身份验证的攻击者可以更改PAN OS的设置和功效。。。。条件条件是攻击者必需可以会见易受攻击的效劳器，，，，，才华使用此误差。。。。

凯发·k8(中国游)官方网站

该误差是在CVSSv3严重品级中获得10分的有数误差之一，，，，，既不需要高级手艺手艺，，，，，又可以通过Internet举行远程使用。。。。美国网络司令部要求所有受CVE-2020-2021影响的装备连忙修复该误差，，，，，并体现外国的APT组织可能很快就会实验使用该误差提倡攻击。。。。

可以通过基于SAML的单点登录（SSO）身份验证�；；；；さ淖试从校�

GlobalProtect Gateway,

GlobalProtect Portal,

GlobalProtect Clientless VPN,

Authentication and Captive Portal,

PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces

Prisma Access

关于GlobalProtect网关、GlobalProtect门户、无客户端VPN、Captive Portal和Prisma Access，，，，，未经身份验证的攻击者可以通过网络会见效劳器上受�；；；；さ淖试矗�，，，，不会影响网关，，，，，门户或VPN效劳器的完整性和可用性，，，，，但攻击者无法检查或改动通俗用户的会话。。。。这是一个严重级别的误差，，，，，CVSS评分10.0。。。。

关于PAN-OS和Panorama Web界面，，，，，若是未经身份验证的攻击者具有对PAN-OS或Panorama Web界面的会见权，，，，，即可以治理员身份登录并执行治理操作。。。。这是一个严重级别的误差，，，，，CVSS评分10.0，，，，，若是仅可通过受限治理网络会见Web界面，，，，，则CVSS评分9.6。。。。

以下是CVE-2020-2021误差影响的Palo Alto Networks PAN-OS版本：

凯发·k8(中国游)官方网站

请相关用户尽快审查设置，，，，，实时确认是否受到该误差影响，，，，，详细要领如下：

? 仅当启用了SAML身份验证并且在“SAML身份提供商效劳器设置文件”中禁用“身份提供商证书”选项时，，，，，才可以使用该误差。。。。

? 若是不使用SAML举行身份验证，，，，，则无法使用该误差。。。。

? 若是在SAML身份提供商效劳器设置文件中启用了“验证身份提供商证书”选项，，，，，则无法使用该误差。。。。

关于怎样检查效劳器设置并实验缓解步伐的说明，，，，，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 要检查是否在防火墙上启用了SAML身份验证，，，，，请参考Device > Server Profiles > SAML Identity Provider；；；；

? 要检查是否为Panorama治理员身份验证启用了SAML身份验证，，，，，请参考Panorama >Server Profiles > SAML Identity Provider；；；；

? 要检查是否为Panorama治理的防火墙启用了SAML身份验证，，，，，请参考Device > [template]> Server Profiles > SAML Identity Provider。。。。

凭证设置，，，，，任何未经授权的会见都会纪录在系统日志中，，，，，可是很难区分有用登录名和恶意登录名。。。。

0x02 处置惩罚建议

官方已宣布PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3和更高版本，，，，，请相关用户实时升级。。。。

注重：在升级到牢靠版本之前，，，，，请确保将SAML身份提供商的署名证书设置为“身份提供商证书”，，，，，以确保用户可以继续举行身份验证。。。。请参考：https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication

? PAN-OS升级之前和之后所需的所有操作的详细信息，，，，，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 为了扫除GlobalProtect门户和网关上的未授权会话，，，，，Prisma Access通过Panorama治理，，，，，请使用Panorama更改Authentication Override cookie的设置。。。。请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXy

重新启动防火墙和Panorama可以扫除Web界面上的任何未经授权的会话。。。。

? 要扫除Captive Portal中的任何未授权用户会话，，，，，请执行以下办法：

运行以下下令

show user ip-user-mapping all type SSO

关于返回的所有IP，，，，，请运行以下两个下令以扫除用户：

clear user-cache-mp

clear user-cache

? PAN-OS 8.0已终止支持（阻止2019年10月31日），，，，，不再维护。。。。

所有Prisma Access效劳均已升级以解决此问题，，，，，并且不再易受攻击。。。。Prisma Access客户不需要对SAML或IdP设置举行任何更改。。。。

暂时步伐：

? 使用其他身份验证要领并禁用SAML身份验证；；；；

? 在执行升级之前，，，，，同时应用（a）和（b）两项缓解步伐。。。。

（a）确保已设置“身份提供商证书”。。。。设置“身份提供商证书”是清静SAML身份验证设置的主要组成部分。。。。

（b）若是身份提供商（IDP）证书是证书揭晓机构（CA）署名的证书，，，，，则确保在SAML身份提供商效劳器设置文件中启用了“身份提供商证书”选项。。。。默认情形下，，，，，许多盛行的IDP都会天生自署名IDP证书，，，，，并且无法启用“验证身份提供商证书”选项。。。。要使用由CA署名的证书，，，，，可能需要执行其他办法。。。。该证书可以由内部企业CA，，，，，PAN OS上的CA或公共CA署名。。。。�？？？？？？稍趆ttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXP上获取有关在IDP上设置CA揭晓的证书的说明。。。。

0x03 相关新闻

https://www.zdnet.com/article/us-cyber-command-says-foreign-hackers-will-most-likely-exploit-new-pan-os-security-bug/

0x04 参考链接

https://security.paloaltonetworks.com/CVE-2020-2021?from=timeline&isappinstalled=0

0x05 时间线

2020-06-29 Palo Alto Networks宣布清静通告

2020-06-30 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

CVE-2020-2021 | PAN-OS SAML身份验证绕过误差通告

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线