美国联邦政府官员周二警告称,在一个资源充足的政府的支持下,外国黑客可能会利用Palo Alto Networks销售的一台主机以及VPN和防火墙产品中的一个关键漏洞进行攻击。
这家安全供应商在一篇帖子中表示,在最糟糕的情况下,该漏洞允许未经授权的人以管理员身份登录网络。有了这些特权,攻击者就可以安装他们选择的软件或执行其他具有严重后果的恶意行为。当使用称为安全断言标记语言(Security Assertion Markup Language)的身份验证机制来验证用户是否授予了访问网络的适当权限时,可以攻击该漏洞(跟踪名称为CVE-2020-2021)。攻击者还必须具有受影响服务器的Internet访问权限。
在Palo Alto Networks发布警告后不久,美国网络安全和基础设施安全局(US CyberSecurity And Infrastructure Security Agency)的官方Twitter账号警告称,该漏洞可能会被APTS(高级持续威胁的简称)在野外利用。APT是许多研究人员使用的术语,指的是复杂的黑客组织,他们试图在较长一段时间内侵入选定的感兴趣的目标。
该机构在推特上警告说:“请立即修补所有受CVE-2020-2021年影响的设备,特别是如果正在使用SAML的话。”“外国APT可能很快就会尝试利用。我们感谢@PaloAltoNtwks对此漏洞的主动响应。“。
仅当启用身份验证并禁用验证身份提供者证书选项时,才能攻击该漏洞。在这种情况下,受影响的Palo Networks产品无法正确验证签名。失败是由于PAN-OS SAML中的缺陷造成的。易受攻击的版本包括PAN-OS 9.1、低于9.0.9的PAN-OS 9.0、低于PAN-OS 8.1.15的PAN-OS 8.1版本以及所有版本的PAN-OS 8.0。PAN-OS 7.1不受影响。
这些设备通常需要管理员提供密码和第二个身份验证因素,例如动态生成的临时密码。这些漏洞允许攻击者绕过此要求,从而获得相同的访问和控制。帕洛阿尔托网络公司的咨询写道:
在GlobalProtect Gateways、GlobalProtect Portal、无客户端VPN、Captive Portal和PRISMA访问的情况下,如果配置的身份验证和安全策略允许,具有受影响服务器的网络访问权限的未经身份验证的攻击者可以获得对受保护资源的访问权限。不会影响网关、门户或VPN服务器的完整性和可用性。攻击者不能检查或篡改常规用户的会话。在最坏的情况下,这是一个严重的严重漏洞,CVSS基本分数为10.0(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).。
在使用PAN-OS和Panorama Web界面的情况下,此漏洞允许具有对PAN-OS或Panorama Web界面的网络访问权限的未经验证的攻击者以管理员身份登录并执行管理操作。在最坏的情况下,这是一个严重的严重漏洞,CVSS基本分数为10.0(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).。如果Web界面仅可由受限管理网络访问,则问题将降至9.6CVSS基本分数(CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
该公司发布了一篇知识库文章,解释如何检查易受攻击的配置,如果发现,则说明修复它们所需的具体操作。PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3以及所有更高版本中都提供了这些修复。
要检查易受攻击的防火墙是否使用SAML身份验证,管理员可以检查设备&>服务器配置文件&>SAML身份提供程序。对于Palo Alto Networks的Panorama管理员,管理员应该会看到Panorama&>服务器配置文件&>SAML身份提供程序下的配置。检查Panorama管理的防火墙是否启用了SAML身份验证涉及检查设备&>[模板]&>服务器配置文件&>SAML身份提供程序。任何未经授权的访问都将记录在系统日志中。
CISA的警告源于该漏洞,该漏洞在CSSv3严重程度量表上的最高得分为10。研究人员将该得分保留为易于利用且需要相对较少的黑客悟性的漏洞。高分值也用于风险较高的情况-例如,在可以绕过核心安全的情况下,以及可以远程执行攻击的情况下,即通过互联网进行攻击。
帕洛阿尔托称,在更新受影响的设备时,人们应该确保在升级前将其SAML身份提供者的签名证书配置为“身份提供者证书”,以确保该设备的用户能够继续成功地进行身份验证。
Palo Alto Networks表示,没有证据表明该漏洞被积极利用。尽管如此,周二的建议解释了该漏洞的基础知识,再加上随后可能出现的野外漏洞评估,这意味着管理员保护其系统的机会有限。