Kriittinen haavoittuvuus Palo Alton verkkolaitteissa

Haavoittuvuus21/2020

Palo Alto Networks on julkaissut kriittisen korjauspäivityksen useisiin verkkolaitteisiinsa. Haavoittuvuus mahdollistaa komentojen syöttämisen sekä tunnistautumisen ohittamisen, jos laitteessa on käytössä haavoittuvuudelle altistava konfiguraatio. Tunnistautuminen on altis haavoittuvuudelle, kun tunnistuspalvelu (IDP) käyttää SAML (Security Assertion Markup Language) -menetelmää, mutta sen varmennetta ei tarkisteta. Haavoittuvuus on erityisen kriittinen GlobalProtect VPN -tuotteissa, koska se mahdollistaa hyökkääjien pääsyn suojattavaan verkkoon.

Palo Alto Networks on luokitellut korjaamansa haavoittuvuuden kriittiseksi. Haavoittuvuus koskee ainostaan niitä PAN-OS:ää käyttäviä laitteita, jotka

  • käyttävät SAML-tunnistuspalveluntarjoajaa sekä 
  • eivät tarkista tunnistuspalvelun varmennetta (Validate Identity Provider Certificate ei käytössä)

Tyypillisin merkittävä riski yrityskäytössä kohdistuu SAML-tunnistusta käyttäviin GlobalProtect VPN -ratkaisuihin.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Palo Alto PAN-OS

  • versiota 9.1.3 vanhemmat PAN-OS-versiot
  • versiota 9.0.9 vanhemmat PAN-OS-versiot
  • versiota 8.1.15 vanhemmat PAN-OS-versiot
  • kaikki PAN-OS 8.0 ja sitä vanhemmat versiot. 8.0-sarja ei ole Palo Alton tuen piirissä.

Haavoittuva SAML-konfiguraatio on mahdollinen seuraavissa tuotteissa

  • GlobalProtect Gateway
  • GlobalProtect Portal
  • GlobalProtect Clientless VPN
  • Authentication and Captive Portal
  • PAN-OS next-generation palomuurit (PA-sarja, VM-sarma)
  • Panorama web-käyttöliittymä
  • Prisma Access

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva laite valmistajan ohjeiden (Ulkoinen linkki) mukaisesti.

Huomioi, että ennen päivittämistä on syytä varmistaa, SAML-tunnistuspalvelun varmenne on asennettu oikein.

Valmistaja on antanut ohjeet, kuinka mahdollisesti luvattomasti muodostetut käyttäjäistunnot voidaan katkaista.

Jos päivittäminen ei ole mahdollista, haavoittuvuuden hyväksikäytön voi estää myös jollain seuraavista tavoista:

  • Kytke SAML-tunnistautuminen pois käytöstä ja käytä jotain muuta tunnistautumismenetelmää
  • Varmista, että tunnistuspalvelun varmenne on asennettu oikein ja käytössä (Validate Identity Provider Certificate)

Päivitys 7.7.2020

Ryan Newington, joka ryhmineen oli löytänyt haavoittuvuuden, on selventänyt kirjoituksessaan (Ulkoinen linkki)varmenteen tarkistamiseen (Validate Identity Provider Certificate) liittyviä kysymyksiä.

Varmenteen tarkistaminen (validation) ei ole SAML-tunnistuspalvelun käyttämisen tai turvallisuuden kannalta olennaista. Tässä tapauksessa tarkistaminen kuitenkin estää haavoittuvuuden hyväksikäytön, eli se toimii haavoittuvuuden rajoituskeinona.

Päivitys 9.7.2020

Palomuurit jotka päivitettiin CVE-2020-2021 haavoittuvuuden julkaisun jälkeen viimeisimpiin PAN-OS versioihin eivät  ole tämän haavoittuvuuden (CVE-2020-2034) alaisia. PAN-OS 7.1 tuki on loppunut 30.06.2020.

Lisätietoja

Lisätty selventävää tietoa ja linkki SAML-tunnistuspalvelun varmenteen tarkistamiseen (Validate Identity Provider Certificate) liittyen.

Lisätty uusi hyökkäysvektori sekä asiaan liittyvä uusi CVE-numero ja sen linkki. Päivitetty haavoittuvia versiota ja poistettu maininta ei-haavoittuvasta 7.1-versiosta.