Palo Alto Networks fixes a critical vulnerability for PAN-OS
CVE-2020-2021 (CVSSv3: 10)
Bronnen
https://security.paloaltonetworks.com/CVE-2020-2021
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
https://nvd.nist.gov/vuln/detail/CVE-2020-2021
https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-relea...
Risico’s
Palo Alto heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid, CVE-2020-2021, die PAN-OS beïnvloedt wanneer Security Assertion Markup Language (SAML) is ingeschakeld. PAN-OS is een aangepast besturingssysteem (OS) dat Palo Alto Network (PAN) gebruikt in hun volgende generatie firewalls.
Een niet-geauthenticeerde aanvaller met netwerktoegang zou deze kwetsbaarheid kunnen uitbuiten om toegang te krijgen tot gevoelige gegevens.
Beschrijving
CVE-2020-2021 is een authenticatie bypass kwetsbaarheid in de Security Assertion Markup Language (SAML) authenticatie in PAN-OS. Deze fout bestaat als gevolg van "onjuiste verificatie van handtekeningen".
Deze kwetsbaarheid treft PAN-OS 9.1-versies eerder dan PAN-OS 9.1.3, PAN-OS 9.0-versies eerder dan PAN-OS 9.0.9; PAN-OS 8.1-versies eerder dan PAN-OS 8.1.15, en alle versies van PAN-OS 8.0 (EOL). Versie 7.1 wordt niet beïnvloed.
Deze kwetsbaarheid is echter alleen exploiteerbaar als:
• Het apparaat is geconfigureerd om SAML-authenticatie te gebruiken
• De optie 'Validate Identity Provider Certificate' is uitgeschakeld (niet aangevinkt) in het SAML Identity Provider Profile.
Raadpleeg de volgende links met de details over hoe u de vereiste configuraties kunt controleren en toepassen om het risico te beperken.
• https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
• https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000...
Aanbevolen acties
CERT.be raadt systeembeheerders aan om patches toe te passen voor PAN-OS 8.15 en PAN-OS 9.0.9 PAN-OS 9.1.3, en latere versies die door de leverancier zijn uitgebracht.