PAN-OS披露重大漏洞，黑客能够绕过其防火墙和公司VPN产品

安全运维派 2022-06-01

文章来源：zdnet

美国网络司令部今天表示，外国政府资助的黑客组织很可能会利用今天在PAN-OS中披露的主要安全漏洞，PAN-OS是在防火墙和Palo Alto Networks的企业VPN设备上运行的操作系统。

美国网络司令部今天在一条推文中说：“请立即修补受CVE-2020-2021影响的所有设备，尤其是在使用SAML的情况下。”

该机构补充说：“外国APT可能会很快尝试利用。”指的是APT（高级持续威胁），这是网络安全行业用来描述民族国家黑客组织的术语。

CVE-2020-2021-罕见的10/10漏洞

美国网络司令部官员被惊慌是正确的。CVE-2020-2021漏洞是在CVSSv3严重等级中获得10分（满分10分）的罕见安全漏洞之一。

10/10 CVSSv3评分意味着该漏洞既易于使用，因为它不需要高级技术技能，并且可以通过Internet进行远程利用，而无需攻击者获得对被攻击设备的初步了解。

从技术上讲，该漏洞是身份验证绕过，它允许威胁参与者无需提供有效凭据即可访问设备。

该漏洞一旦被利用，黑客就可以更改PAN OS的设置和功能。尽管更改操作系统功能似乎是无害的，并且影响不大，但该错误实际上是一个主要问题，因为它可用于禁用防火墙或VPN访问控制策略，从而有效禁用整个PAN-OS设备。

PAN OS设备必须处于特定配置

Palo Alto Networks（PAN）在今天发布的安全公告中说，缓解因素包括以下事实：PAN-OS设备必须处于特定配置中，才能利用此漏洞。

PAN工程师说，只有在禁用“验证身份提供者证书”选项并且启用SAML（安全断言标记语言）的情况下，此漏洞才可利用。

图片：Palo Alto Networks

支持这两个选项的设备（容易受到攻击）包括以下系统：

这两个设置默认情况下不在易受攻击的位置，并且需要在该特定配置中设置手动用户干预-这意味着并非默认情况下并非所有PAN-OS设备都容易受到攻击。

但是，根据CERT / CC漏洞分析师Will Dormann的说法，一些供应商手册指示PAN-OS所有者在使用第三方身份提供商时（例如在PAN-OS设备上使用Duo身份验证）设置确切的特定配置。Centrify，Trusona或Okta的第三方身份验证解决方案。

这意味着，由于需要利用复杂的配置，该漏洞乍一看似乎无害，但可能有相当多的设备配置为处于这种脆弱状态，尤其是由于在企业和政府部门中广泛使用了Duo身份验证。

因此，如果PAN-OS设备的设备处于易受攻击的状态，则建议他们立即检查设备配置并应用Palo Alto Networks提供的最新补丁。

下面列出了已知可运行CVE-2020-2021的易受攻击的PAN OS列表。

继Palo Alto今天披露漏洞之后，网络安全社区中几个受人尊敬的人物呼应了美国网络司令部的警告，并敦促系统管理员尽快修补PAN-OS设备，并预期来自民族威胁者的攻击在几天之内跟进。

推荐阅读

*涉案资金4.8亿余元！一笔无法还清的网贷牵出“第四方支付”跨境黑灰产业链