{"id":232966,"date":"2020-06-30T05:59:04","date_gmt":"2020-06-30T03:59:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232966"},"modified":"2020-06-30T13:50:06","modified_gmt":"2020-06-30T11:50:06","slug":"cve-2020-2021-in-palo-alto-networks-gerten-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/06\/30\/cve-2020-2021-in-palo-alto-networks-gerten-patchen\/","title":{"rendered":"CVE-2020-2021 (in Palo Alto Networks-Geräten) patchen"},"content":{"rendered":"

[English<\/a>]Warnung vor der SAML-Schwachstelle CVE-2020-2021 in diversen Ger\u00e4ten des Anbieters Palo Alto und \u00e4hnliche Produkte. Es ist davon auszugehen, dass die Schwachstelle bald von Cyber-Kriminellen ausgenutzt wird, um in Netzwerke einzudringen.<\/p>\n

<\/p>\n

CVE-2020-2021 PAN-OS: Authentication Bypass in SAML Authentication<\/h3>\n

\"\"Die Schwachstelle CVE-2020-2021<\/a> (Authentication Bypass in SAML Authentication) existiert in verschiedenen Produkten von Palo Alto Networks (PAN) in deren Betriebssystem PAN-OS. wird die SAML-Authentifizierung (Security Assertion Markup Language) aktiviert und die Option\u00a0 'Validate Identity Provider Certificate' ('Identit\u00e4tsprovider-Zertifikat validieren) deaktiviert (nicht markiert), erm\u00f6glicht die unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung von Signaturen bei der PAN-OS SAML-Authentifizierung einem nicht authentifizierten netzwerkbasierten Angreifer den Zugriff auf gesch\u00fctzte Ressourcen.<\/p>\n

Der Angreifer muss Netzwerkzugriff auf den anf\u00e4lligen Server haben, um diese Schwachstelle auszunutzen. Dieses Problem kann nicht ausgenutzt werden, wenn SAML nicht zur Authentifizierung verwendet wird. Dieses Problem betrifft PAN-OS 9.1-Versionen vor PAN-OS 9.1.3; PAN-OS 9.0-Versionen vor PAN-OS 9.0.9; PAN-OS 8.1-Versionen vor PAN-OS 8.1.15 und alle Versionen von PAN-OS 8.0 (EOL). Dieses Problem betrifft nicht PAN-OS 7.1.<\/p>\n

Betroffene Systeme<\/h2>\n

Ressourcen, die durch SAML-basierte Single-Sign-On (SSO)-Authentifizierung gesch\u00fctzt werden k\u00f6nnen, sind laut Palo Alto Networks:<\/p>\n

GlobalProtect-Gateway,
\nGlobalProtect Portal,
\nGlobalProtect Clientloses VPN,
\nAuthentifizierungs- und Gefangenenportal,
\nPAN-OS-Firewalls der n\u00e4chsten Generation (PA-Serie, VM-Serie) und Panorama-Webschnittstellen,
\nPrisma-Zugang<\/p>\n

Im Fall von GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal und Prisma Access kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf die betroffenen Server Zugriff auf gesch\u00fctzte Ressourcen erhalten, wenn dies durch konfigurierte Authentifizierungs- und Sicherheitsrichtlinien erlaubt wird.<\/p>\n

Es gibt keine Auswirkungen auf die Integrit\u00e4t und Verf\u00fcgbarkeit des Gateways, Portals oder VPN-Servers. Ein Angreifer kann keine Sitzungen regul\u00e4rer Benutzer inspizieren oder manipulieren. Im schlimmsten Fall handelt es sich um eine Schwachstelle mit einem kritischen Schweregrad und einer CVSS-Basisbewertung von 10,0 (CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:C\/C:H\/I:H\/A:N).<\/p>\n

Im Falle von PAN-OS- und Panorama-Webschnittstellen erm\u00f6glicht dieses Problem einem nicht authentifizierten Angreifer mit Netzwerkzugang zu den PAN-OS- oder Panorama-Webschnittstellen, sich als Administrator anzumelden und administrative Aktionen durchzuf\u00fchren.<\/p>\n