www.belgium.be Logo of the federal government

Palo Alto Networks fixes a critical vulnerability for PAN-OS

Référence: 
Advisory #2020-021
Version: 
1.0
Logiciels concernés : 
PAN-OS 9.1 < 9.1.3
PAN-OS 9.0 < 9.0.9
PAN-OS 8.1 < 8.1.15
PNA-OS 8.0
Type: 
Contournement d'authentification
CVE/CVSS: 

CVE-2020-2021 (CVSSv3: 10)

Date: 
01/07/2020

Sources

https://security.paloaltonetworks.com/CVE-2020-2021
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://nvd.nist.gov/vuln/detail/CVE-2020-2021
https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-relea...

Risques

Palo Alto a publié des mises à jour de sécurité pour une vulnérabilité critique, CVE-2020-2021, affectant PAN-OS lorsque le langage SAML (Security Assertion Markup Language) est activé. PAN-OS est un système d'exploitation (OS) personnalisé que Palo Alto Network (PAN) utilise dans ses pare-feu de nouvelle génération.
Un acteur malveillant non authentifié ayant accès au réseau pourrait exploiter cette vulnérabilité pour obtenir l'accès à des données sensibles.

Description

Le CVE-2020-2021 est une vulnérabilité de contournement d'authentification dans l'authentification SAML (Security Assertion Markup Language) du logiciel PAN-OS. Cette faille de sécurité existe en raison d'une "vérification incorrecte des signatures".

Cette vulnérabilité affecte les versions du PAN-OS 9.1 antérieures au PAN-OS 9.1.3, les versions du PAN-OS 9.0 antérieures au PAN-OS 9.0.9 ; les versions du PAN-OS 8.1 antérieures au PAN-OS 8.1.15 et toutes les versions du PAN-OS 8.0 (EOL). La version 7.1 n'est pas concernée.

Cependant, cette vulnérabilité n'est exploitable que si :

• Le dispositif est configuré pour utiliser l'authentification SAML
• L'option "Valider le certificat du fournisseur d'identité" est désactivée (non cochée) dans le profil du serveur du fournisseur d'identité SAML.

Veuillez vous référer aux liens suivants ci-dessous pour savoir comment vérifier et appliquer les configurations requises afin de vous prémunir contre ce risque.

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...

Actions recommandées

CERT.be recommande aux administrateurs système d'appliquer les correctifs pour PAN-OS 8.15, PAN-OS 9.0.9 PAN-OS 9.1.3 et les versions ultérieures publiées par le vendeur.