Palo Alto Networks fixes a critical vulnerability for PAN-OS
CVE-2020-2021 (CVSSv3: 10)
Sources
https://security.paloaltonetworks.com/CVE-2020-2021
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://nvd.nist.gov/vuln/detail/CVE-2020-2021
https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-relea...
Risques
Palo Alto a publié des mises à jour de sécurité pour une vulnérabilité critique, CVE-2020-2021, affectant PAN-OS lorsque le langage SAML (Security Assertion Markup Language) est activé. PAN-OS est un système d'exploitation (OS) personnalisé que Palo Alto Network (PAN) utilise dans ses pare-feu de nouvelle génération.
Un acteur malveillant non authentifié ayant accès au réseau pourrait exploiter cette vulnérabilité pour obtenir l'accès à des données sensibles.
Description
Le CVE-2020-2021 est une vulnérabilité de contournement d'authentification dans l'authentification SAML (Security Assertion Markup Language) du logiciel PAN-OS. Cette faille de sécurité existe en raison d'une "vérification incorrecte des signatures".
Cette vulnérabilité affecte les versions du PAN-OS 9.1 antérieures au PAN-OS 9.1.3, les versions du PAN-OS 9.0 antérieures au PAN-OS 9.0.9 ; les versions du PAN-OS 8.1 antérieures au PAN-OS 8.1.15 et toutes les versions du PAN-OS 8.0 (EOL). La version 7.1 n'est pas concernée.
Cependant, cette vulnérabilité n'est exploitable que si :
• Le dispositif est configuré pour utiliser l'authentification SAML
• L'option "Valider le certificat du fournisseur d'identité" est désactivée (non cochée) dans le profil du serveur du fournisseur d'identité SAML.
Veuillez vous référer aux liens suivants ci-dessous pour savoir comment vérifier et appliquer les configurations requises afin de vous prémunir contre ce risque.
• https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
• https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
Actions recommandées
CERT.be recommande aux administrateurs système d'appliquer les correctifs pour PAN-OS 8.15, PAN-OS 9.0.9 PAN-OS 9.1.3 et les versions ultérieures publiées par le vendeur.