Palo Alto Networks ha emitido un aviso de seguridad sobre una vulnerabilidad crítica que afecta a PAN-OS, el sistema operativo que alimenta sus firewalls de próxima generación. La vulnerabilidad, rastreada como CVE-2020-2021 , podría permitir que los atacantes no autenticados basados en la red eludan la autenticación.
El problema afecta a las versiones de PAN-OS 9.1 anteriores a PAN-OS 9.1.3; PAN-OS 9.0 versiones anteriores a PAN-OS 9.0.9; PAN-OS 8.1 versiones anteriores a PAN-OS 8.1.15, y todas las versiones de PAN-OS 8.0 (EOL). La versión PAN-OS 7.1 no se ve afectada por CVE-2020-2021.
“Cuando SAML está habilitada y la opción 'Validar certificado de proveedor de identidad' está deshabilitada (desmarcada), la verificación incorrecta de las firmas en la autenticación SAML PAN-OS permite que un atacante basado en la red no autenticado acceda a recursos protegidos. El atacante debe tener acceso de red al equipo vulnerable para aprovechar esta vulnerabilidad”, dijo la compañía.
Palo Alto Networks explica además que la vulnerabilidad CVE-2020-2021 no puede ser explotada si SAML no se usa para la autenticación, o si la opción 'Validar certificado de proveedor de identidad' está desactivada en el perfil del servidor del proveedor de identidad SAML.
“En el caso de GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal y Prisma Access, un atacante no autenticado con acceso a la red a los servidores afectados puede obtener acceso a recursos protegidos si lo permiten las políticas de autenticación y seguridad configuradas. No hay impacto en la integridad y disponibilidad de la puerta de enlace, portal o servidor VPN. Un atacante no puede inspeccionar ni alterar las sesiones de los usuarios habituales ", según el aviso.
“En el caso de las interfaces web PAN-OS y Panorama, este problema permite que un atacante no autenticado con acceso de red a las interfaces web PAN-OS o Panorama inicie sesión como administrador y realice acciones administrativas. En el peor de los casos, esta es una vulnerabilidad de gravedad crítica con un puntaje base de CVSS de 10.0. Si las interfaces web solo son accesibles para una red de administración restringida, entonces el problema se reduce a un puntaje base de CVSS de 9.6 ”.
El problema se ha solucionado en PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 y todas las versiones posteriores.
Please patch all devices affected by CVE-2020-2021 immediately, especially if SAML is in use. Foreign APTs will likely attempt exploit soon. We appreciate @PaloAltoNtwks’ proactive response to this vulnerability.
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) June 29, 2020
https://t.co/WwJdil5X0F
Palo Alto Networks dijo que no tiene conocimiento de ataques que exploten esta vulnerabilidad, sin embargo, el Comando Cibernético de EE. UU. Advirtió que los grupos ATP extranjeros probablemente intentarán explotar los cortafuegos de Palo Alto sin parches.
“Por favor, aplique parches a todos los dispositivos afectados por CVE-2020-2021 inmediatamente, especialmente si SAML está en uso. Las APT extranjeras probablemente intentarán explotar pronto ”, dijo la agencia en un tweet .
