Haavoittuvuus21/2020
Palo Alto Networks on julkaissut kriittisen korjauspäivityksen useisiin verkkolaitteisiinsa. Haavoittuvuus mahdollistaa komentojen syöttämisen sekä tunnistautumisen ohittamisen, jos laitteessa on käytössä haavoittuvuudelle altistava konfiguraatio. Tunnistautuminen on altis haavoittuvuudelle, kun tunnistuspalvelu (IDP) käyttää SAML (Security Assertion Markup Language) -menetelmää, mutta sen varmennetta ei tarkisteta. Haavoittuvuus on erityisen kriittinen GlobalProtect VPN -tuotteissa, koska se mahdollistaa hyökkääjien pääsyn suojattavaan verkkoon.
Palo Alto Networks on luokitellut korjaamansa haavoittuvuuden kriittiseksi. Haavoittuvuus koskee ainostaan niitä PAN-OS:ää käyttäviä laitteita, jotka
- käyttävät SAML-tunnistuspalveluntarjoajaa sekä
- eivät tarkista tunnistuspalvelun varmennetta (Validate Identity Provider Certificate ei käytössä)
Tyypillisin merkittävä riski yrityskäytössä kohdistuu SAML-tunnistusta käyttäviin GlobalProtect VPN -ratkaisuihin.
Kohde
- Verkon aktiivilaitteet
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Suojauksen ohittaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Palo Alto PAN-OS
- versiota 9.1.3 vanhemmat PAN-OS-versiot
- versiota 9.0.9 vanhemmat PAN-OS-versiot
- versiota 8.1.15 vanhemmat PAN-OS-versiot
- kaikki PAN-OS 8.0 ja sitä vanhemmat versiot. 8.0-sarja ei ole Palo Alton tuen piirissä.
Haavoittuva SAML-konfiguraatio on mahdollinen seuraavissa tuotteissa
- GlobalProtect Gateway
- GlobalProtect Portal
- GlobalProtect Clientless VPN
- Authentication and Captive Portal
- PAN-OS next-generation palomuurit (PA-sarja, VM-sarma)
- Panorama web-käyttöliittymä
- Prisma Access
Mistä on kysymys?
Päivitä haavoittuva laite valmistajan ohjeiden (Ulkoinen linkki) mukaisesti.
Huomioi, että ennen päivittämistä on syytä varmistaa, SAML-tunnistuspalvelun varmenne on asennettu oikein.
Valmistaja on antanut ohjeet, kuinka mahdollisesti luvattomasti muodostetut käyttäjäistunnot voidaan katkaista.
Jos päivittäminen ei ole mahdollista, haavoittuvuuden hyväksikäytön voi estää myös jollain seuraavista tavoista:
- Kytke SAML-tunnistautuminen pois käytöstä ja käytä jotain muuta tunnistautumismenetelmää
- Varmista, että tunnistuspalvelun varmenne on asennettu oikein ja käytössä (Validate Identity Provider Certificate)
Päivitys 7.7.2020
Ryan Newington, joka ryhmineen oli löytänyt haavoittuvuuden, on selventänyt kirjoituksessaan (Ulkoinen linkki)varmenteen tarkistamiseen (Validate Identity Provider Certificate) liittyviä kysymyksiä.
Varmenteen tarkistaminen (validation) ei ole SAML-tunnistuspalvelun käyttämisen tai turvallisuuden kannalta olennaista. Tässä tapauksessa tarkistaminen kuitenkin estää haavoittuvuuden hyväksikäytön, eli se toimii haavoittuvuuden rajoituskeinona.
Päivitys 9.7.2020
Palomuurit jotka päivitettiin CVE-2020-2021 haavoittuvuuden julkaisun jälkeen viimeisimpiin PAN-OS versioihin eivät ole tämän haavoittuvuuden (CVE-2020-2034) alaisia. PAN-OS 7.1 tuki on loppunut 30.06.2020.
Mitä voin tehdä?
- https://security.paloaltonetworks.com/CVE-2020-2021 (Ulkoinen linkki)
- https://www.bleepingcomputer.com/news/security/palo-alto-networks-patches-critical-vulnerability-in-firewall-os/ (Ulkoinen linkki)
- https://www.zdnet.com/article/us-cyber-command-says-foreign-hackers-will-most-likely-exploit-new-pan-os-security-bug/ (Ulkoinen linkki)
- CVE-2020-2021 (Ulkoinen linkki)
- https://threadreaderapp.com/thread/1278074919092289537.html (Ulkoinen linkki)
- https://security.paloaltonetworks.com/CVE-2020-2034 (Ulkoinen linkki)
Lisätty selventävää tietoa ja linkki SAML-tunnistuspalvelun varmenteen tarkistamiseen (Validate Identity Provider Certificate) liittyen.
Lisätty uusi hyökkäysvektori sekä asiaan liittyvä uusi CVE-numero ja sen linkki. Päivitetty haavoittuvia versiota ja poistettu maininta ei-haavoittuvasta 7.1-versiosta.