(Denna information är kritisk för er som använder Palo Alto, men även ni som använder andra lösningar rekommenderas att kontrollera era uppsättningar)
Palo Alto informerade allmänheten igår om en allvarlig säkerhetsbugg som tillåter hackare att kringgå autentisering kopplat till deras brandväggar samt VPN produkter.
Vad innebär 10/10 för en CVE-publicerad sårbarhet?
En 10/10 bedömning på CVSSv3 skalan betyder att sårbarheten är enkel att utnyttja och kräver ingen avancerad teknisk kompetens eller förmåga.
Det betyder också att sårbarheten är möjlig att utnyttja via internet utan att angriparna behöver ett initialt fotfäste på enheten i fråga.
Sammanfattningsvis innebär det att denna sårbarhet är en så kallad ”Authentication Bypass” vilket tillåter hotaktörer att komma åt enheten utan att behöva ange giltiga credentials.
Påverkan
Sårbara produkter vid tidpunkt för denna publicering:
- GlobalProtect Gateway
- GlobalProtect Portal
- GlobalProtect Clientless VPN
- Authentication and Captive Portal
- PA samt VM serie av brandväggar
- Panorama web interface
- Prisma Access
Gemensamt för dessa är att de använder PAN OS i botten.
Berörda versioner av PAN OS är:
- 9.1 serien, löst i 9.1.3.
- 9.0 serien, löst i 9.0.9.
- 8.1 serien, löst i 8.1.15.
- 8.0 serien har ingen publicerad lösning.
Tekniskt innebär detta att SAML behövs konfigurationsmässigt användas i enheterna från Palo Alto, och vissa certifikat-inställningar inte används (att validera identitetsprovider är inte påslaget), bedömt som en vanlig inställning.
SAML är för många en föredragen teknologi att använda för central konto-kontroll (authentication, authorization).
The United States Cyber Command (USCYBERCOM), ett amerikanskt militärt förband sorterat under Förenta staternas strategiska kommando (USSTRATCOM) varnar för att statligt sponsrade hacking-grupper med största sannolikhet kommer utnyttja säkerhetshålet med så kallade ”APT - Advanced Persistent Threats”.
Workaround
Föreslagen workaround är att ej använda SAML alternativt använda certifikatverifieringen.
Lösning
Patchar är släppta och omedelbar uppgradering är starkt rekommenderat.
”.. Patcha omedelbart samtliga enheter som påverkas av CVE-2020-2021. Särskilt om SAML [Security Assertion Markup Language] används ..” meddelar USCYBERCOM via Twitter tidigare idag.
CVE-2020-2021 sårbarheten bedöms som 10/10 i allvarlighetsgrad på CVSSv3 skalan. Det är både sällsynt och ovanligt att säkerhetsbuggar bedöms så pass högt.
Källa:
https://security.paloaltonetworks.com/CVE-2020-2021
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2021
