Palo Alto Networks防火墙PAN-OS超危漏洞(CVE-2020-2021)技术分析与修复指南

Palo Alto Networks防火墙PAN-OS超危漏洞(CVE-2020-2021)技术分析与修复指南 漏洞概述 Palo Alto Networks披露了一个存在于其所有下一代防火墙操作系统(PAN-OS)中的超危漏洞(CVE-2020-2021)，CVSS 3.x基础评分为10分(最高危级别)。该漏洞影响启用SAML身份认证且禁用"Validate Identity Provider Certificate"选项的设备。 漏洞详情 漏洞本质 当同时满足以下两个条件时： 启用了安全断言标记语言(SAML)身份认证 禁用了"Validate Identity Provider Certificate"选项(未勾选) PAN-OS在SAML身份认证过程中错误验证签名，允许未经身份认证的攻击者访问受保护的资源。 影响范围 受影响版本 ：所有未修复的PAN-OS版本 已修复版本 ： PAN-OS 8.1.15 PAN-OS 9.0.9 PAN-OS 9.1.3 以及所有更高版本 影响组件 该漏洞影响以下PAN-OS组件： GlobalProtect Gateways GlobalProtect Portal Clientless VPN Captive Portal Prisma Access PAN-OS和Panorama web接口 攻击场景 典型攻击方式 对于GlobalProtect Gateways、Portal、VPN等： 攻击者可通过网络访问受影响服务器 获取受保护资源的访问权限(取决于配置的身份认证和安全策略) 对于PAN-OS和Panorama web接口： 攻击者可以管理员身份登录 执行任意管理操作 限制条件 网关、门户平台或VPN服务器的完整性和可用性不受影响 攻击者无法查看或篡改普通用户的现有会话 漏洞发现与披露 发现者 ：Cyber Risk and Resilience Team的Salman Khan和蒙纳士大学Identity Services Team的Cameron Duck 披露时间 ：2020年6月 特别说明 ：这是Palo Alto Networks自2012年4月27日以来披露的第二个CVSS 3.x评分为10的超危漏洞 风险现状 根据Rapid7的Bob Rudis研究： 发现超过69,000个GlobalProtect PAN-OS设备节点 其中28,188个(40.6%)位于美国 美国网战司令部警告：外国APT团伙可能试图利用未修复的漏洞 Palo Alto Networks表示：截至公告发布时，尚未检测到利用该漏洞的恶意企图 修复与缓解措施 官方修复方案 升级到以下已修复版本： PAN-OS 8.1.15 PAN-OS 9.0.9 PAN-OS 9.1.3 或更高版本 临时缓解措施 启用"Validate Identity Provider Certificate"选项 检查并遵循Palo Alto Networks发布的详细缓解指南 检测方法 在应用补丁前，可检查以下日志寻找入侵迹象： 身份认证日志 User-ID日志 ACC Network Activity Source/Destination Regions(使用Global Filter功能) Custom Reports(Monitor > Report) GlobalProtect日志(PAN-OS 9.1.0及之后版本) 注意 ：任何不寻常的用户名或源IP地址都应被视为感染指标。 配置检查 易受攻击配置检查 登录防火墙管理界面 检查是否启用了SAML身份认证 确认"Validate Identity Provider Certificate"选项状态 若禁用(未勾选)且使用SAML认证，则系统易受攻击 历史背景 这是Palo Alto Networks历史上第二个CVSS 3.x评分为10的超危漏洞。第一个是： CVE-2019-17440 ：影响PA-7000系列设备上的Log Forwarding Card(LFC)通信限制错误，允许攻击者获取PAN-OS的root访问权限。 最佳实践建议 立即升级到已修复版本 如无法立即升级，确保启用"Validate Identity Provider Certificate"选项 审查所有SAML身份认证配置 监控异常登录活动 遵循Palo Alto Networks官方部署指南，避免使用不安全的配置选项