PAN OS操作系統曝“10分”罕見漏洞，需立即修復

今天，美國網絡司令部發布Twitter：“請立即修補受CVE-2020-2021影響的所有設備，尤其是在使用SAML的情況下。”

PAN-OS是一個運行在Palo Alto Networks防火牆和企業VPN設備上的操作系統，該操作系統被披露存在嚴重安全漏洞：CVE-2020-2021。

特殊的是，這是一個罕見的在CVSS v3漏洞嚴重等級中獲得滿分10分的安全漏洞。10分，從危害程度上來説，意味着該漏洞不僅易於利用，不需要攻擊者具備高級技術技能，而且還可以通過網絡進行遠程利用，無需攻擊者具備對目標設備的初步瞭解。從技術上來説，這是一個身份驗證繞過漏洞，允許攻擊者無需提供有效憑據即可訪問設備。

該漏洞一旦被利用，攻擊者就可以更改PAN OS的設置和功能。儘管更改操作系統功能似乎影響不大，但該漏洞實際上可用於禁用防火牆或VPN訪問控制策略，從而禁用整個PAN-OS設備。

漏洞影響

PAN-OS設備必須處於特定配置中，該漏洞才能被利用。

然而，在一些供應商手冊上，指示了PAN-OS所有者在使用第三方身份提供程序時設置這種特定的配置，例如在PAN-OS設備上使用Duo身份驗證，或Centrify、Trusona、Okta的第三方身份驗證解決方案。目前，企業和政府部門中就廣泛使用了Duo身份驗證。

支持這兩個選項的易遭到攻擊的設備包括以下：

GlobalProtect網關

GlobalProtect門户

GlobalProtectClientless VPN

Authentication and Captive Portal

PAN-OS下一代防火牆和Panorama Web界面

Prisma Access 系統

已知可運行CVE-2020-2021的易受攻擊的PAN OS列表：

緩解措施

既然PAN-OS設備必須處於特定配置中，該漏洞才能被利用。因此，只要這些設備在2個設置中依然保持默認狀態，不手動配置“禁用‘驗證身份提供者證書’選項並且啓用SAML”，那麼安全性可以得到一定的保障。

最後，該漏洞還引發了對於APT攻擊的擔憂，在Twitter上出現的一些言論都傾向該漏洞很可能被民族國家的黑客組織利用發起攻擊。因此，建議企業立即對已有的PAN-OS設備實施漏洞緩解措施。