首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-2021 | PAN-OS SAML身份验证绕过误差通告

宣布时间 2020-06-30

0x00 误差概述

CVE ID	CVE-2020-2021	时间	2020-06-30
类型	AB	等级	严重
远程使用	是	影响规模

0x01 误差详情

万利国际官网(中国游)有限公司

2020年6月29日，，，Palo Alto Networks官方宣布清静通告，，，修复了一个PAN-OS SAML身份验证绕过误差（CVE-2020-2021）。。。。。攻击者无需经由身份验证即可使用该误差会见装备。。。。。

在启用清静性断言标记语言（SAML）身份验证并禁用“验证身份提供商证书”选项时，，，由于PAN-OS SAML身份验证历程中没有准确地验证署名，，，导致未经身份验证的攻击者可以更改PAN OS的设置和功效。。。。。条件条件是攻击者必需可以会见易受攻击的效劳器，，，才华使用此误差。。。。。

万利国际官网(中国游)有限公司

该误差是在CVSSv3严重品级中获得10分的有数误差之一，，，既不需要高级手艺手艺，，，又可以通过Internet举行远程使用。。。。。美国网络司令部要求所有受CVE-2020-2021影响的装备连忙修复该误差，，，并体现外国的APT组织可能很快就会实验使用该误差提倡攻击。。。。。

可以通过基于SAML的单点登录（SSO）身份验证保�；；；；；；；さ淖试从校�

GlobalProtect Gateway,

GlobalProtect Portal,

GlobalProtect Clientless VPN,

Authentication and Captive Portal,

PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces

Prisma Access

关于GlobalProtect网关、GlobalProtect门户、无客户端VPN、Captive Portal和Prisma Access，，，未经身份验证的攻击者可以通过网络会见效劳器上受保�；；；；；；；さ淖试�，，，不会影响网关，，，门户或VPN效劳器的完整性和可用性，，，但攻击者无法检查或改动通俗用户的会话。。。。。这是一个严重级别的误差，，，CVSS评分10.0。。。。。

关于PAN-OS和Panorama Web界面，，，若是未经身份验证的攻击者具有对PAN-OS或Panorama Web界面的会见权，，，即可以治理员身份登录并执行治理操作。。。。。这是一个严重级别的误差，，，CVSS评分10.0，，，若是仅可通过受限治理网络会见Web界面，，，则CVSS评分9.6。。。。。

以下是CVE-2020-2021误差影响的Palo Alto Networks PAN-OS版本：

万利国际官网(中国游)有限公司

请相关用户尽快审查设置，，，实时确认是否受到该误差影响，，，详细要领如下：

? 仅当启用了SAML身份验证并且在“SAML身份提供商效劳器设置文件”中禁用“身份提供商证书”选项时，，，才可以使用该误差。。。。。

? 若是不使用SAML举行身份验证，，，则无法使用该误差。。。。。

? 若是在SAML身份提供商效劳器设置文件中启用了“验证身份提供商证书”选项，，，则无法使用该误差。。。。。

关于怎样检查效劳器设置并实验缓解步伐的说明，，，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 要检查是否在防火墙上启用了SAML身份验证，，，请参考Device > Server Profiles > SAML Identity Provider；；；；；；；；

? 要检查是否为Panorama治理员身份验证启用了SAML身份验证，，，请参考Panorama >Server Profiles > SAML Identity Provider；；；；；；；；

? 要检查是否为Panorama治理的防火墙启用了SAML身份验证，，，请参考Device > [template]> Server Profiles > SAML Identity Provider。。。。。

凭证设置，，，任何未经授权的会见都会纪录在系统日志中，，，可是很难区分有用登录名和恶意登录名。。。。。

0x02 处置惩罚建议

官方已宣布PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3和更高版本，，，请相关用户实时升级。。。。。

注重：在升级到牢靠版本之前，，，请确保将SAML身份提供商的署名证书设置为“身份提供商证书”，，，以确保用户可以继续举行身份验证。。。。。请参考：https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication

? PAN-OS升级之前和之后所需的所有操作的详细信息，，，请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK

? 为了扫除GlobalProtect门户和网关上的未授权会话，，，Prisma Access通过Panorama治理，，，请使用Panorama更改Authentication Override cookie的设置。。。。。请参考：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXy

重新启动防火墙和Panorama可以扫除Web界面上的任何未经授权的会话。。。。。

? 要扫除Captive Portal中的任何未授权用户会话，，，请执行以下办法：

运行以下下令

show user ip-user-mapping all type SSO

关于返回的所有IP，，，请运行以下两个下令以扫除用户：

clear user-cache-mp

clear user-cache

? PAN-OS 8.0已终止支持（阻止2019年10月31日），，，不再维护。。。。。

所有Prisma Access效劳均已升级以解决此问题，，，并且不再易受攻击。。。。。Prisma Access客户不需要对SAML或IdP设置举行任何更改。。。。。

暂时步伐：

? 使用其他身份验证要领并禁用SAML身份验证；；；；；；；；

? 在执行升级之前，，，同时应用（a）和（b）两项缓解步伐。。。。。

（a）确保已设置“身份提供商证书”。。。。。设置“身份提供商证书”是清静SAML身份验证设置的主要组成部分。。。。。

（b）若是身份提供商（IDP）证书是证书揭晓机构（CA）署名的证书，，，则确保在SAML身份提供商效劳器设置文件中启用了“身份提供商证书”选项。。。。。默认情形下，，，许多盛行的IDP都会天生自署名IDP证书，，，并且无法启用“验证身份提供商证书”选项。。。。。要使用由CA署名的证书，，，可能需要执行其他办法。。。。。该证书可以由内部企业CA，，，PAN OS上的CA或公共CA署名。。。。�？？？？稍趆ttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXP上获取有关在IDP上设置CA揭晓的证书的说明。。。。。

0x03 相关新闻

https://www.zdnet.com/article/us-cyber-command-says-foreign-hackers-will-most-likely-exploit-new-pan-os-security-bug/

0x04 参考链接

https://security.paloaltonetworks.com/CVE-2020-2021?from=timeline&isappinstalled=0

0x05 时间线

2020-06-29 Palo Alto Networks宣布清静通告

2020-06-30 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

CVE-2020-2021 | PAN-OS SAML身份验证绕过误差通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线