Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen haavoittuvuus Palo Alton verkkolaitteissa

Haavoittuvuus21/2020

Palo Alto Networks on julkaissut kriittisen korjauspäivityksen useisiin verkkolaitteisiinsa. Haavoittuvuus mahdollistaa tunnistautumisen ohittamisen, jos laitteessa on käytössä haavoittuvuudelle altistava konfiguraatio. Tunnistautuminen on altis haavoittuvuudelle, kun tunnistuspalvelu (IDP) käyttää SAML (Security Assertion Markup Language) -menetelmää, mutta sen varmennetta ei tarkisteta. Haavoittuvuus on erityisen kriittinen GlobalProtect VPN -tuotteissa, koska se mahdollistaa hyökkääjien pääsyn suojattavaan verkkoon.

Palo Alto Networks on luokitellut korjaamansa haavoittuvuuden kriittiseksi. Haavoittuvuus koskee ainostaan niitä PAN-OS:ää käyttäviä laitteita, jotka

  • käyttävät SAML-tunnistuspalveluntarjoajaa sekä 
  • eivät tarkista tunnistuspalvelun varmennetta (Validate Identity Provider Certificate ei käytössä)

Tyypillisin merkittävä riski yrityskäytössä kohdistuu SAML-tunnistusta käyttäviin GlobalProtect VPN -ratkaisuihin.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Palo Alto PAN-OS

  • versiota 9.1.3 vanhemmat PAN-OS-versiot
  • versiota 9.0.9 vanhemmat PAN-OS-versiot
  • versiota 8.1.15 vanhemmat PAN-OS-versiot
  • kaikki PAN-OS 8.0-versiot. 8.0-sarja ei ole Palo Alton tuen piirissä.

Haavoittuva SAML-konfiguraatio on mahdollinen seuraavissa tuotteissa

  • GlobalProtect Gateway
  • GlobalProtect Portal
  • GlobalProtect Clientless VPN
  • Authentication and Captive Portal
  • PAN-OS next-generation palomuurit (PA-sarja, VM-sarma)
  • Panorama web-käyttöliittymä
  • Prisma Access

Haavoittuvuus ei koske PAN-OS 7.1-sarjaa.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva laite valmistajan ohjeiden (Ulkoinen linkki) mukaisesti.

Huomioi, että ennen päivittämistä on syytä varmistaa, SAML-tunnistuspalvelun varmenne on asennettu oikein.

Valmistaja on antanut ohjeet, kuinka mahdollisesti luvattomasti muodostetut käyttäjäistunnot voidaan katkaista.

Jos päivittäminen ei ole mahdollista, haavoittuvuuden hyväksikäytön voi estää myös jollain seuraavista tavoista:

  • Kytke SAML-tunnistautuminen pois käytöstä ja käytä jotain muuta tunnistautumismenetelmää
  • Varmista, että tunnistuspalvelun varmenne on asennettu oikein ja käytössä (Validate Identity Provider Certificate)

Lisätietoja