今天,美国网络司令部发推文:“请立即修补所有受CVE-2020-2021影响的设备,尤其是使用SAML的PAN”-OS是一种在PaloAltoNetworks防火墙和企业VPN设备上运行的操作系统,被披露存在严重的安全漏洞:CVE-2020-2021。特别之处在于,这是一个罕见的安全漏洞,在CVSSv3漏洞严重性等级中获得满分10分。10分表示该漏洞不仅易于利用,不需要攻击者具备高深的技术技能,而且在攻击者对目标设备没有初步了解的情况下,也可以通过网络远程利用。从技术上讲,这是一个身份验证绕过漏洞,允许攻击者在不提供有效凭据的情况下访问设备。一旦被利用,该漏洞可能允许攻击者更改PAN-OS设置和功能。虽然更改操作系统功能似乎影响不大,但该漏洞实际上可用于禁用防火墙或VPN访问控制策略,从而禁用整个PAN-OS设备。影响PANOS设备的漏洞必须处于特定配置(禁用“验证身份提供商证书”选项并启用SAML)才能利用此漏洞。然而,在一些供应商手册上,PAN-OS所有者被指示在使用第三方身份提供程序时设置此特定配置,例如PAN-OS设备上的Duo身份验证,或Centrify、Trusona、Okta的第三方身份验证解决方案。目前,Duo认证广泛应用于企业和政府部门。支持这两个选项的易受攻击的设备包括:GlobalProtect网关GlobalProtect门户GlobalProtect无客户端VPN身份验证和强制门户PAN-OS下一代防火墙(PA系列、VM系列)和已知运行CVE的PanoramaWeb界面Prisma访问系统-易受攻击的PAN-OS2020-2021年列表:缓解措施现在PAN-OS设备必须处于特定配置才能利用此漏洞。因此,只要这些设备在2个设置中保持默认状态,不手动配置“禁用‘VerifyIdentityProviderCertificate’选项并启用SAML”,那么安全性就可以得到一定的保障。最后,这个漏洞也引发了对APT攻击的担忧,推特上的一些评论暗示这个漏洞很可能被民族国家黑客组织利用来发起攻击。因此,建议企业立即对现有的PAN-OS设备实施漏洞缓解措施。
