PAN-OS披露重大漏洞,黑客能够绕过其防火墙和公司VPN产品
文章来源:zdnet
该机构补充说:“外国APT可能会很快尝试利用。”指的是APT(高级持续威胁),这是网络安全行业用来描述民族国家黑客组织的术语。
CVE-2020-2021-罕见的10/10漏洞
美国网络司令部官员被惊慌是正确的。CVE-2020-2021漏洞是在CVSSv3严重等级中获得10分(满分10分)的罕见安全漏洞之一。
10/10 CVSSv3评分意味着该漏洞既易于使用,因为它不需要高级技术技能,并且可以通过Internet进行远程利用,而无需攻击者获得对被攻击设备的初步了解。
从技术上讲,该漏洞是身份验证绕过,它允许威胁参与者无需提供有效凭据即可访问设备。
该漏洞一旦被利用,黑客就可以更改PAN OS的设置和功能。尽管更改操作系统功能似乎是无害的,并且影响不大,但该错误实际上是一个主要问题,因为它可用于禁用防火墙或VPN访问控制策略,从而有效禁用整个PAN-OS设备。
PAN OS设备必须处于特定配置
Palo Alto Networks(PAN)在今天发布的安全公告中说,缓解因素包括以下事实:PAN-OS设备必须处于特定配置中,才能利用此漏洞。
PAN工程师说,只有在禁用“验证身份提供者证书”选项并且启用SAML(安全断言标记语言)的情况下,此漏洞才可利用。
GlobalProtect网关 GlobalProtect门户 GlobalProtect无客户端VPN 身份验证和强制门户 PAN-OS下一代防火墙(PA系列,VM系列)和Panorama Web界面 棱镜门禁系统
这两个设置默认情况下不在易受攻击的位置,并且需要在该特定配置中设置手动用户干预-这意味着并非默认情况下并非所有PAN-OS设备都容易受到攻击。
某些设备已配置为易受攻击
但是,根据CERT / CC漏洞分析师Will Dormann的说法,一些供应商手册指示PAN-OS所有者在使用第三方身份提供商时(例如在PAN-OS设备上使用Duo身份验证)设置确切的特定配置。Centrify,Trusona或Okta的第三方身份验证解决方案。
这意味着,由于需要利用复杂的配置,该漏洞乍一看似乎无害,但可能有相当多的设备配置为处于这种脆弱状态,尤其是由于在企业和政府部门中广泛使用了Duo身份验证。
因此,如果PAN-OS设备的设备处于易受攻击的状态,则建议他们立即检查设备配置并应用Palo Alto Networks提供的最新补丁。
下面列出了已知可运行CVE-2020-2021的易受攻击的PAN OS列表。
推荐阅读
*涉案资金4.8亿余元!一笔无法还清的网贷牵出“第四方支付”跨境黑灰产业链
*Chrome 恶意扩展窃取个人资料,现已被下载超 3 千万次
*收集14万余条学生个人信息 江苏省一培训机构被罚款!移送警方