Vulnerabilidad crítica PAN-OS permite bypass en autenticación de SAML

29 Junio 2020
Crítico

Palo Alto Networks notificó una vulnerabilidad crítica encontrada en el sistema operativo de sus firewalls de nueva generación la cual podría permitir a un atacante no autenticado acceder a los recursos comprometidos, explotando la vulnerabilidad como parte de un ataque de baja complejidad siempre que éste tenga acceso al servidor desde la red interna. 

La vulnerabilidad ha sido identificada como CVE-2020-2021 con una puntuación base de severidad CVSS v3.1 perfecta de 10.0. Sin embargo, deben cumplirse ciertas condiciones para que esta realmente pueda ser explotada:

  • El dispositivo debe tener la autenticación SAML habilitada
  • La opción ”Validar certificado de identidad del proveedor” está deshabilitada (desmarcada)

La siguiente tabla incluye las versiones de PAN-OS afectadas, como también las que recibieron parches de la marca.

 

Versiones base Afectado Parcheados
9.1 < 9.1.3 > = 9.1.3
9.0 < 9.0.9 > = 9.0.9
8.1 < 8.1.15 > = 8.1.15
8.0 8.0.* sin parches
7.1 versión no afectada 7.1.*

 

CVE-2020-2021  PAN-OS 

Es importante destacar que esta no es una vulnerabilidad de ejecución de código remoto y que no se tiene conocimiento respecto a un intento malicioso de explotar esta vulnerabilidad. Por su parte, los recursos que pueden ser afectados son:

  • GlobalProtect Gateway
  • GlobalProtect Portal
  • GlobalProtect Clientless VPN
  • Authentication and Captive Portal
  • PAN-OS next-generation firewalls (PA-Series, VM-Series) y Panorama web interfaces
  • Prisma Access

Según explica Palo Alto:

"En el caso de GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal y Prisma Access, un atacante no autenticado con acceso de red a los servidores afectados puede obtener acceso a recursos protegidos si lo permiten las políticas de autenticación y seguridad configuradas".

"No hay impacto en la integridad y disponibilidad de la puerta de enlace, el portal o el servidor VPN. Un atacante no puede inspeccionar ni alterar las sesiones de los usuarios habituales”.

"En el caso de las interfaces web PAN-OS y Panorama, este problema permite que un atacante no autenticado con acceso de red a las interfaces web PAN-OS o Panorama inicie sesión como administrador y realice acciones administrativas".

El Centro de Ciberinteligencia recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico, áreas resolutorias correspondientes y la marca. Los detalles de todas las acciones requeridas antes y después de actualizar PAN-OS están disponibles en https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK
    • PAN-OS 8.0 ha finalizado al 31 de octubre de 2019 y ya no está cubierto por nuestras políticas de Garantía de Seguridad de Producto.
    • PAN-OS 7.1 está en soporte extendido hasta el 30 de junio de 2020, y solo se está considerando para soluciones críticas de vulnerabilidad de seguridad.
       
  • Importante: Asegúrese de que el certificado de firma de identidad de su proveedor de SAML esté configurado como el 'Certificado de proveedor de identidad' antes de actualizar a una versión fija para garantizar que sus usuarios puedan continuar autenticándose con éxito. La configuración del 'Certificado de identidad de proveedor' es una parte esencial de una configuración de autenticación SAML segura. https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication
  • El uso de un método de autenticación diferente y la desactivación de la autenticación SAML mitigará por completo el problema.
  • Los detalletes de soluciones y mitigaciones están en el sitio oficial del proveedor https://security.paloaltonetworks.com/CVE-2020-2021

 

El listado de las CVE se adjunta a continuación:


Tags: #PaloAlto #SAML #parche #pan-os #panos #vulnerabilidad #cve #cvss
  • Productos Afectados
  • Producto Versión
    PAN-OS versión 8.0.*
    versión 8.1 anteriores a 8.1.15
    versión 9.0 anteriores a 9.0.9
    versión 9.1 anteriores a 9.1.3


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.