CVE-2020-2021

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Palo Alto Networks PAN-OS contains a vulnerability in SAML which allows an attacker to bypass authentication.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-2021) в системе аутентификации SAML (Security Assertion Markup Language) в PAN-OS. Атакующий, имея доступ к сети, может сконструировать специальное SAML-сообщение, в котором подпись будет проверяться некорректно. Это позволяет злоумышленнику выдать себя за любого пользователя и получить несанкционированный доступ к защищенным ресурсам (например, к интерфейсу администратора или VPN) без действительных учетных данных.

Как исправить

Установите исправленную версию PAN-OS. Обновление является единственным полным решением.

Критические версии с уязвимостью: * PAN-OS 8.1 (версии ранее 8.1.15) * PAN-OS 9.0 (версии ранее 9.0.9) * PAN-OS 9.1 (версии ранее 9.1.3)

Исправленные версии: * Обновитесь до PAN-OS 8.1.15 или новее. * Обновитесь до PAN-OS 9.0.9 или новее. * Обновитесь до PAN-OS 9.1.3 или новее. * Все версии PAN-OS 10.0 и выше не уязвимы.

Процедура обновления: 1. Скачайте нужную версию ПО с портала поддержки Palo Alto Networks. 2. Загрузите образ в брандмауэр через веб-интерфейс (Device > Software) или CLI. 3. Установите обновление и перезагрузите устройство.

Пример команды для загрузки через CLI (замените image_name на актуальное имя файла):

request system software download version 9.1.3 file image_name

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Отключите аутентификацию SAML для администрирования и GlobalProtect (VPN):

    • В веб-интерфейсе перейдите в Device > Administrators > Authentication Profile.
    • Для профилей, используемых администраторами и в настройках GlobalProtect (Network > GlobalProtect > Portals > <ваш портал> > Authentication > Client Authentication), измените метод аутентификации на Local Database или другой, не использующий SAML (например, RADIUS/LDAP с MFA).
    • Внимание: Это временная мера, которая может нарушить процесс входа пользователей.

  2. Ограничьте доступ к интерфейсам аутентификации:

    • Используйте политики безопасности на вышестоящем маршрутизаторе или межсетевом экране, чтобы разрешить доступ к IP-адресу брандмауэра PAN-OS (для администрирования и VPN) только с доверенных сетей (офис, VPN администраторов).

  3. Мониторинг (Compensating Control):

    • Включите детальное логирование аутентификации (Device > Log Settings > System).
    • Настройте отправку логов на SIEM и создайте правило корреляции для обнаружения множественных неудачных попыток входа SAML с последующим успехом с разных IP-адресов.
    • Регулярно проверяйте журналы угроз (Monitor > Threats) на предмет подозрительной активности, связанной с аутентификацией.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей