[English]Warnung vor der SAML-Schwachstelle CVE-2020-2021 in diversen Geräten des Anbieters Palo Alto und ähnliche Produkte. Es ist davon auszugehen, dass die Schwachstelle bald von Cyber-Kriminellen ausgenutzt wird, um in Netzwerke einzudringen.
Anzeige
CVE-2020-2021 PAN-OS: Authentication Bypass in SAML Authentication
Die Schwachstelle CVE-2020-2021 (Authentication Bypass in SAML Authentication) existiert in verschiedenen Produkten von Palo Alto Networks (PAN) in deren Betriebssystem PAN-OS. wird die SAML-Authentifizierung (Security Assertion Markup Language) aktiviert und die Option 'Validate Identity Provider Certificate' ('Identitätsprovider-Zertifikat validieren) deaktiviert (nicht markiert), ermöglicht die unsachgemäße Überprüfung von Signaturen bei der PAN-OS SAML-Authentifizierung einem nicht authentifizierten netzwerkbasierten Angreifer den Zugriff auf geschützte Ressourcen.
Der Angreifer muss Netzwerkzugriff auf den anfälligen Server haben, um diese Schwachstelle auszunutzen. Dieses Problem kann nicht ausgenutzt werden, wenn SAML nicht zur Authentifizierung verwendet wird. Dieses Problem betrifft PAN-OS 9.1-Versionen vor PAN-OS 9.1.3; PAN-OS 9.0-Versionen vor PAN-OS 9.0.9; PAN-OS 8.1-Versionen vor PAN-OS 8.1.15 und alle Versionen von PAN-OS 8.0 (EOL). Dieses Problem betrifft nicht PAN-OS 7.1.
Betroffene Systeme
Ressourcen, die durch SAML-basierte Single-Sign-On (SSO)-Authentifizierung geschützt werden können, sind laut Palo Alto Networks:
GlobalProtect-Gateway,
GlobalProtect Portal,
GlobalProtect Clientloses VPN,
Authentifizierungs- und Gefangenenportal,
PAN-OS-Firewalls der nächsten Generation (PA-Serie, VM-Serie) und Panorama-Webschnittstellen,
Prisma-Zugang
Anzeige
Im Fall von GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal und Prisma Access kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf die betroffenen Server Zugriff auf geschützte Ressourcen erhalten, wenn dies durch konfigurierte Authentifizierungs- und Sicherheitsrichtlinien erlaubt wird.
Es gibt keine Auswirkungen auf die Integrität und Verfügbarkeit des Gateways, Portals oder VPN-Servers. Ein Angreifer kann keine Sitzungen regulärer Benutzer inspizieren oder manipulieren. Im schlimmsten Fall handelt es sich um eine Schwachstelle mit einem kritischen Schweregrad und einer CVSS-Basisbewertung von 10,0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).
Im Falle von PAN-OS- und Panorama-Webschnittstellen ermöglicht dieses Problem einem nicht authentifizierten Angreifer mit Netzwerkzugang zu den PAN-OS- oder Panorama-Webschnittstellen, sich als Administrator anzumelden und administrative Aktionen durchzuführen.
- Im schlimmsten Fall handelt es sich um eine Schwachstelle mit kritischem Schweregrad und einem CVSS Base Score von 10,0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
- Wenn die Webschnittstellen nur für ein eingeschränktes Management-Netzwerk zugänglich sind, wird die Schwachstelle auf eine CVSS-Basisnote von 9,6 herabgesetzt (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Palo Alto Networks sind keine böswilligen Versuche bekannt, diese Schwachstelle auszunutzen.
Alarm aus Kreisen von Sicherheitsforschern
Ich bin vor einigen Stunden auf nachfolgenden Tweet gestoßen, wo dringend angeraten wird, dass Administratoren ihre Geräte patchen, um die Schwachstelle zu schließen.
Yes, part of the reason the Palo-Alto vulnerability is bad is disabling cert verification is common in enterprises, as is using SAML. https://t.co/W8BZ8JxtZu
— Kevin Beaumont (@GossiTheDog) June 29, 2020
Sicherheitsforscher gehen davon aus, dass die Schwachstelle bald von Cyber-Kriminellen ausgenutzt wird, um auf interne Netzwerke zuzugreifen. Ergänzung: heise hat inzwischen diesen Artikel zum Thema publiziert.
Anzeige
