今天，美國(guó)網(wǎng)絡(luò)司令部發(fā)布Twitter：“請(qǐng)立即修補(bǔ)受CVE-2020-2021影響的所有設(shè)備，尤其是在使用SAML的情況下。”

PAN-OS是一個(gè)運(yùn)行在Palo Alto Networks防火墻和企業(yè)VPN設(shè)備上的操作系統(tǒng)，該操作系統(tǒng)被披露存在嚴(yán)重安全漏洞：CVE-2020-2021。

特殊的是，這是一個(gè)罕見(jiàn)地在CVSS v3漏洞嚴(yán)重等級(jí)中獲得滿(mǎn)分10分的安全漏洞。10分，從危害程度上來(lái)說(shuō)，意味著該漏洞不僅易于利用，不需要攻擊者具備高級(jí)技術(shù)技能，而且還可以通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程利用，無(wú)需攻擊者具備對(duì)目標(biāo)設(shè)備的初步了解。從技術(shù)上來(lái)說(shuō)，這是一個(gè)身份驗(yàn)證繞過(guò)漏洞，允許攻擊者無(wú)需提供有效憑據(jù)即可訪問(wèn)設(shè)備。

該漏洞一旦被利用，攻擊者就可以更改PAN OS的設(shè)置和功能。盡管更改操作系統(tǒng)功能似乎影響不大，但該漏洞實(shí)際上可用于禁用防火墻或VPN訪問(wèn)控制策略，從而禁用整個(gè)PAN-OS設(shè)備。

漏洞影響

PAN-OS設(shè)備必須處于特定配置中(禁用“驗(yàn)證身份提供者證書(shū)”選項(xiàng)并且啟用SAML)，該漏洞才能被利用。

然而，在一些供應(yīng)商手冊(cè)上，指示了PAN-OS所有者在使用第三方身份提供程序時(shí)設(shè)置這種特定的配置，例如在PAN-OS設(shè)備上使用Duo身份驗(yàn)證，或Centrify、Trusona、Okta的第三方身份驗(yàn)證解決方案。目前，企業(yè)和政府部門(mén)中就廣泛使用了Duo身份驗(yàn)證。

支持這兩個(gè)選項(xiàng)的易遭到攻擊的設(shè)備包括以下：

• GlobalProtect網(wǎng)關(guān)
• GlobalProtect門(mén)戶(hù)
• GlobalProtectClientless VPN
• Authentication and Captive Portal
• PAN-OS下一代防火墻(PA系列，VM系列)和Panorama Web界面
• Prisma Access 系統(tǒng)

已知可運(yùn)行CVE-2020-2021的易受攻擊的PAN OS列表：

緩解措施

既然PAN-OS設(shè)備必須處于特定配置中，該漏洞才能被利用。因此，只要這些設(shè)備在2個(gè)設(shè)置中依然保持默認(rèn)狀態(tài)，不手動(dòng)配置“禁用‘驗(yàn)證身份提供者證書(shū)’選項(xiàng)并且啟用SAML”，那么安全性可以得到一定的保障。

最后，該漏洞還引發(fā)了對(duì)于APT攻擊的擔(dān)憂(yōu)，在Twitter上出現(xiàn)的一些言論都傾向該漏洞很可能被民族國(guó)家的黑客組織利用發(fā)起攻擊。因此，建議企業(yè)立即對(duì)已有的PAN-OS設(shè)備實(shí)施漏洞緩解措施。