Palo Alto 發布了一個安全公告以應對 PAN-OS 中一個安全斷言標記語言 (SAML) 的身分認證漏洞。當受影響的系統啟用SAML身分認證並停用「驗證身份提供者證書」(Validate Identity Provider Certificate)選項時,未通過認證但又能夠透過網絡接達至受影響系統的攻擊者可以使用 PAN-OS SAML 身分認證中的不當簽名驗證從而攻擊這個漏洞。
PAN-OS 8.0已於2019年10月31日結束,在這之後也不會再提供安全更新。用戶應安排為 PAN-OS 更新至支援版本,或轉至其他支援的技術。
根據身分認證和保安政策的設定,攻擊者可以在未經授權的情況下接達受影響系統中受保護的資源。
適用於受影響系統的軟件更新已可獲取。受影響系統的系統管理員應遵從產品供應商的建議,立即採取行動以降低風險。
系統管理員可聯絡其產品支援供應商,以取得修補程式及有關支援。
https://security.paloaltonetworks.com/CVE-2020-2021
https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-releases-security-updates-pan-os
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2021