美国联邦政府官员周二警告称,在资源充足的政府支持下,外国黑客可能试图利用帕洛阿尔托网络公司(Palo Alto Networks)销售的主机、VPN和防火墙产品中的一个关键漏洞。
该安全供应商在一篇帖子中表示,在最坏的情况下,该漏洞会让未经授权的人以管理员身份登录网络。有了这些特权,沐鸣开户测速攻击者就可以安装他们选择的软件,或者进行其他具有严重后果的恶意操作。当使用一种称为安全断言标记语言的身份验证机制来验证用户是否获得了访问网络的适当权限时,可以利用这个被跟踪为CVE-2020-2021的漏洞。攻击者还必须能够访问受影响的服务器。
在帕洛阿尔托网络公司(Palo Alto Networks)发布这一建议后不久,美国网络安全和基础设施安全局(US Cybersecurity and Infrastructure Security Agency)的官方Twitter账户警告称,该漏洞可能会被APTs(高级持续威胁的简称)在自然环境中利用。APT是许多研究人员使用的术语,指那些试图长时间攻击特定目标的黑客组织。
该机构在推特上警告说:“请立即给所有受CVE-2020-2021影响的设备打补丁,特别是在SAML正在使用的情况下。”“外国APTs可能很快就会尝试开发。我们赞赏@PaloAltoNtwks对这一脆弱性的积极反应。”
最大程度
只有在启用身份验证和禁用验证身份提供者证书选项时,沐鸣开户测速才能利用该漏洞。在这种情况下,受影响的Palo Networks产品无法正确验证签名。失败的原因是PAN-OS SAML的缺陷。易受攻击的版本有PAN-OS 9.1,早于9.0.9的PAN-OS 9.0,早于PAN-OS 8.1.15的PAN-OS 8.1版本,以及所有版本的PAN-OS 8.0。PAN-OS 7.1不受影响。
设备通常需要管理员提供密码和认证的第二个因素,比如动态生成的临时密码。漏洞允许攻击者绕过这一需求,从而获得相同的访问和控制。帕洛阿尔托网络公司的建议如下:
在GlobalProtect网关、GlobalProtect Portal、无客户VPN、专属门户和Prisma访问的情况下,如果配置的身份验证和安全策略允许,能够访问受影响服务器的未经身份验证的攻击者可以访问受保护的资源。不影响网关、门户或VPN服务器的完整性和可用性。攻击者不能检查或篡改普通用户的会话。在最坏的情况下,这是一个非常严重的漏洞与一个CVSS基础得分10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/ a:N)。
在PAN-OS和Panorama web接口的情况下,这个问题允许未经身份验证的攻击者以管理员身份登录并执行管理操作。在最坏的情况下,这是一个严重的漏洞与CVSS基础得分10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/ a:H)。如果网络接口只能访问一个受限制的管理网络,然后问题降低到一个CVSS基础分数9.6 (CVSS:3.1/AV: a /AC:L/PR:N/UI:N/S:C/C:H/I:H/ a:H)。
该公司发布了一篇知识库文章,解释了如何检查易受攻击的配置,以及如果发现,需要采取的具体行动来修复它们。这些补丁在PAN-OS 8.1.15、PAN-OS 9.0.9、PAN-OS 9.1.3以及所有后续版本中都可以找到。
要检查脆弱的防火墙是否使用SAML身份验证,管理员可以检查设备>服务器配置文件> SAML身份提供者。对于帕洛阿尔托网络的全景管理员,管理员应该在全景>服务器配置文件> SAML身份提供者下查看配置。检查全景管理的防火墙是否打开了SAML身份验证包括检查设备>[模板]>服务器配置文件> SAML身份提供者。任何未经授权的访问将记录在系统日志中。
CISA的警报来自于CSSv3严重程度评分为10的漏洞。研究人员会为那些容易被利用,并且需要相对较少的黑客知识的漏洞预留分数。当风险很高时,比如在核心安全可以被绕过的情况下,或者在可以远程进行攻击的情况下,也可以使用高分数。,通过互联网。
根据Palo Alto的说法,当更新受影响的设备时,人们应该在升级之前确保他们的SAML身份提供者的签名证书被配置为“身份提供者证书”,沐鸣开户测速以确保设备的用户能够继续成功地进行身份验证。
帕洛阿尔托网络公司表示,没有证据表明该漏洞正在被积极利用。尽管如此,周二的报告解释了漏洞的基本情况,以及随后可能出现的野外攻击的评估,意味着管理员保护他们系统的机会有限。