CVE-2020-2021 漏洞影响 PAN-OS 防火墙和 VPN 设备

Palo Alto Networks已经修补了一个影响PAN-OS的关键且容易利用的漏洞(CVE-2020-2021)，自定义操作系统运行在下一代防火墙和企业VPN设备上，并督促用户尽快升级到固定版本。
美国网络司令部(Cyber Command)响应了立即采取行动的呼吁，称有国家支持的攻击者可能很快就会试图利用它。

关于漏洞(CVE-2020-2021)

CVE-2020-2021是一个认证绕过漏洞，该漏洞可能允许未经身份验证的远程攻击者访问和控制易受攻击的设备，更改其设置，更改访问控制策略，将其关闭等。
受影响的PAN-OS版本包括PAN-OS 9.1.3之前的版本;PAN-OS 9.0版本比PAN-OS 9.0.9早;PAN-OS 8.1比PAN-OS 8.1.15早，以及所有版本的PAN-OS 8.0 (EOL)。7.1版本不受影响。
此外，该漏洞仅当:

• 设备被配置为使用带有单点登录(SSO)的SAML身份验证进行访问管理

• 在SAML标识提供程序服务器配置文件中禁用(未选中)“验证标识提供程序证书”选项

“可以被基于SAML的单点登录(SSO)认证保护的资源有:GlobalProtect网关、GlobalProtect门户、GlobalProtect无客户VPN、认证和专属门户、PAN-OS下一代防火墙（PA系列，VM系列）和全景Web界面，以及Prisma访问。”
虽然上述配置设置不是默认配置的一部分，但对于攻击者来说，找到易受攻击的设备似乎不是什么大问题。
研究员Satnam Narang指出“提供SSO、双因素身份验证和身份识别服务的知名组织似乎推荐这种[易受攻击的]配置，或者可能只使用这种配置工作，”
这些提供商包括Okta、SecureAuth、SafeNet Trusted Access、Duo、Trusona via Azure AD、Azure AD和centrfy。
甚至PAN-OS 9.1用户指南指导管理员禁用“验证身份提供商证书”选项，当设置Duo集成:

帕洛阿尔托网络公司表示，目前没有迹象表明该漏洞受到了主动攻击。
但是考虑到各种企业解决方案中的SSL VPN漏洞在过去一年左右被网络犯罪分子和民族国家攻击者大量利用，一旦一个可用的漏洞被开发出来，预计这个漏洞就会被利用。

要做什么吗?

如前所述，实现安全更新是最佳解决方案。
如果可能的话，建议企业管理员升级到泛操作系统版本9.1.3、9.0.9或8.1.15。帕洛阿尔托网络公司提供了如何在不破坏用户身份验证能力的情况下实现这一功能的说明。
如果不可能更新，可以通过使用不同的身份验证方法和禁用SAML身份验证来临时减轻风险。
管理员可以检查各种日志(认证日志、用户id日志、GlobalProtect日志等)中的妥协指标。