CVE-2020-2021 (in Palo Alto Networks-Geräten) patchen

[English]Warnung vor der SAML-Schwachstelle CVE-2020-2021 in diversen Geräten des Anbieters Palo Alto und ähnliche Produkte. Es ist davon auszugehen, dass die Schwachstelle bald von Cyber-Kriminellen ausgenutzt wird, um in Netzwerke einzudringen.


Anzeige

CVE-2020-2021 PAN-OS: Authentication Bypass in SAML Authentication

Die Schwachstelle CVE-2020-2021 (Authentication Bypass in SAML Authentication) existiert in verschiedenen Produkten von Palo Alto Networks (PAN) in deren Betriebssystem PAN-OS. wird die SAML-Authentifizierung (Security Assertion Markup Language) aktiviert und die Option  ‘Validate Identity Provider Certificate’ (‘Identitätsprovider-Zertifikat validieren) deaktiviert (nicht markiert), ermöglicht die unsachgemäße Überprüfung von Signaturen bei der PAN-OS SAML-Authentifizierung einem nicht authentifizierten netzwerkbasierten Angreifer den Zugriff auf geschützte Ressourcen.

Der Angreifer muss Netzwerkzugriff auf den anfälligen Server haben, um diese Schwachstelle auszunutzen. Dieses Problem kann nicht ausgenutzt werden, wenn SAML nicht zur Authentifizierung verwendet wird. Dieses Problem betrifft PAN-OS 9.1-Versionen vor PAN-OS 9.1.3; PAN-OS 9.0-Versionen vor PAN-OS 9.0.9; PAN-OS 8.1-Versionen vor PAN-OS 8.1.15 und alle Versionen von PAN-OS 8.0 (EOL). Dieses Problem betrifft nicht PAN-OS 7.1.

Betroffene Systeme

Ressourcen, die durch SAML-basierte Single-Sign-On (SSO)-Authentifizierung geschützt werden können, sind laut Palo Alto Networks:

GlobalProtect-Gateway,
GlobalProtect Portal,
GlobalProtect Clientloses VPN,
Authentifizierungs- und Gefangenenportal,
PAN-OS-Firewalls der nächsten Generation (PA-Serie, VM-Serie) und Panorama-Webschnittstellen,
Prisma-Zugang

Im Fall von GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal und Prisma Access kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf die betroffenen Server Zugriff auf geschützte Ressourcen erhalten, wenn dies durch konfigurierte Authentifizierungs- und Sicherheitsrichtlinien erlaubt wird.

Es gibt keine Auswirkungen auf die Integrität und Verfügbarkeit des Gateways, Portals oder VPN-Servers. Ein Angreifer kann keine Sitzungen regulärer Benutzer inspizieren oder manipulieren. Im schlimmsten Fall handelt es sich um eine Schwachstelle mit einem kritischen Schweregrad und einer CVSS-Basisbewertung von 10,0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).

Im Falle von PAN-OS- und Panorama-Webschnittstellen ermöglicht dieses Problem einem nicht authentifizierten Angreifer mit Netzwerkzugang zu den PAN-OS- oder Panorama-Webschnittstellen, sich als Administrator anzumelden und administrative Aktionen durchzuführen.

  • Im schlimmsten Fall handelt es sich um eine Schwachstelle mit kritischem Schweregrad und einem CVSS Base Score von 10,0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
  • Wenn die Webschnittstellen nur für ein eingeschränktes Management-Netzwerk zugänglich sind, wird die Schwachstelle auf eine CVSS-Basisnote von 9,6 herabgesetzt (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

Anzeige

Palo Alto Networks sind keine böswilligen Versuche bekannt, diese Schwachstelle auszunutzen.

Alarm aus Kreisen von Sicherheitsforschern

Ich bin vor einigen Stunden auf nachfolgenden Tweet gestoßen, wo dringend angeraten wird, dass Administratoren ihre Geräte patchen, um die Schwachstelle zu schließen.

Sicherheitsforscher gehen davon aus, dass die Schwachstelle bald von Cyber-Kriminellen ausgenutzt wird, um auf interne Netzwerke zuzugreifen. Ergänzung: heise hat inzwischen diesen Artikel zum Thema publiziert.


Anzeige


Dieser Beitrag wurde unter Geräte, Sicherheit, Software veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.