当前位置:首页 > 安全预警 > 正文

SAML身份验证机制绕过漏洞(CVE-2020-2021)预警

发布时间:2020-07-01 11:07:03,来源:三六零安全科技股份有限公司、中国信息通信研究院

      一、 基本情况

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。

近日,监测发现Palo Alto官方发布了SAML身份验证机制绕过的风险通告,该漏洞编号为CVE-2020-2021,当SAML开启,同时Validate Identity Provider Certificate(验证身份提供者证书)选项关闭时,未经身份验证的远程攻击者可以通过该漏洞绕过SAML身份验证机制访问受保护的资源。

二、 攻击原理

该漏洞有三个前置利用条件:

1、使用SAML身份验证机制进行身份验证。

2、Validate Identity Provider Certificate(验证身份提供者证书)选项关闭。

3、远程攻击者可以访问到存在漏洞的服务器。

只要符合以上三点,且基于SAML单点登录身份验证保护的资源,都受到该漏洞的影响:

GlobalProtect Gateway

GlobalProtect Portal

GlobalProtect Clientless VPN

Authentication and Captive Portal

PAN-OS next-generation firewalls (PA-Series, VM-Series)

Panorama web interfaces

Prisma Access

对于GlobalProtect Gateways、GlobalProtect Portal、Clientless VPN、Captive Portal和Prisma Access这几个产品来说,未经身份验证的攻击者可以通过该漏洞绕过目标服务器的身份验证机制,访问到受到保护的资源。但是攻击者无法影响产品的完整性,也无法篡改普通用户的会话。

对于PAN-OS及Panorama web interfaces这两款产品来说,未经身份验证的攻击者可以以管理员的身份登录到产品的后台,并有权执行对应的管理操作。

三、 影响范围

PAN-OS 9.1:<9.1.3版本

PAN-OS 9.0:<9.0.9版本

PAN-OS 8.1:<8.1.15版本

PAN-OS 8.0:全版本

该漏洞不影响PAN-OS 7.1版本。

四、 处置建议

PAN-OS 9.1:升级到PAN-OS 9.1.3版本

PAN-OS 9.0:升级到PAN-OS 9.0.9版本

PAN-OS 8.1:升级到PAN-OS 8.1.15版本

PAN-OS 8.0:PAN-OS 8.0已于2019年10月31日停止维护,建议用户更新到最新版本。

五、 参考链接

(1)https://security.paloaltonetworks.com/CVE-2020-2021