Kriittinen haavoittuvuus Palo Alton verkkolaitteissa

Palo Alto Networks on julkaissut kriittisen korjauspäivityksen useisiin verkkolaitteisiinsa. Haavoittuvuus mahdollistaa komentojen syöttämisen sekä tunnistautumisen ohittamisen, jos laitteessa on käytössä haavoittuvuudelle altistava konfiguraatio. Tunnistautuminen on altis haavoittuvuudelle, kun tunnistuspalvelu (IDP) käyttää SAML (Security Assertion Markup Language) -menetelmää, mutta sen varmennetta ei tarkisteta. Haavoittuvuus on erityisen kriittinen GlobalProtect VPN -tuotteissa, koska se mahdollistaa hyökkääjien pääsyn suojattavaan verkkoon.

Palo Alto Networks on luokitellut korjaamansa haavoittuvuuden kriittiseksi. Haavoittuvuus koskee ainostaan niitä PAN-OS:ää käyttäviä laitteita, jotka

käyttävät SAML-tunnistuspalveluntarjoajaa sekä
eivät tarkista tunnistuspalvelun varmennetta (Validate Identity Provider Certificate ei käytössä)

Tyypillisin merkittävä riski yrityskäytössä kohdistuu SAML-tunnistusta käyttäviin GlobalProtect VPN -ratkaisuihin.

Haavoittuvuuden kohde

Palo Alto PAN-OS

versiota 9.1.3 vanhemmat PAN-OS-versiot
versiota 9.0.9 vanhemmat PAN-OS-versiot
versiota 8.1.15 vanhemmat PAN-OS-versiot
kaikki PAN-OS 8.0 ja sitä vanhemmat versiot. 8.0-sarja ei ole Palo Alton tuen piirissä.

Haavoittuva SAML-konfiguraatio on mahdollinen seuraavissa tuotteissa

GlobalProtect Gateway
GlobalProtect Portal
GlobalProtect Clientless VPN
Authentication and Captive Portal
PAN-OS next-generation palomuurit (PA-sarja, VM-sarma)
Panorama web-käyttöliittymä
Prisma Access

Mistä on kysymys?

Päivitä haavoittuva laite valmistajan ohjeiden mukaisesti.

Huomioi, että ennen päivittämistä on syytä varmistaa, SAML-tunnistuspalvelun varmenne on asennettu oikein.

Valmistaja on antanut ohjeet, kuinka mahdollisesti luvattomasti muodostetut käyttäjäistunnot voidaan katkaista.

Jos päivittäminen ei ole mahdollista, haavoittuvuuden hyväksikäytön voi estää myös jollain seuraavista tavoista:

Kytke SAML-tunnistautuminen pois käytöstä ja käytä jotain muuta tunnistautumismenetelmää
Varmista, että tunnistuspalvelun varmenne on asennettu oikein ja käytössä (Validate Identity Provider Certificate)

Päivitys 7.7.2020

Ryan Newington, joka ryhmineen oli löytänyt haavoittuvuuden, on selventänyt kirjoituksessaan varmenteen tarkistamiseen (Validate Identity Provider Certificate) liittyviä kysymyksiä.

Varmenteen tarkistaminen (validation) ei ole SAML-tunnistuspalvelun käyttämisen tai turvallisuuden kannalta olennaista. Tässä tapauksessa tarkistaminen kuitenkin estää haavoittuvuuden hyväksikäytön, eli se toimii haavoittuvuuden rajoituskeinona.

Päivitys 9.7.2020

Palomuurit jotka päivitettiin CVE-2020-2021 haavoittuvuuden julkaisun jälkeen viimeisimpiin PAN-OS versioihin eivät ole tämän haavoittuvuuden (CVE-2020-2034) alaisia. PAN-OS 7.1 tuki on loppunut 30.06.2020.

Mitä voin tehdä?

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.