CVE-2020-2050 | PAN-OS身份验证绕过漏洞通告

发布时间 2020-11-12

0x00 漏洞概述

CNVD   ID

CVE-2020-2050

时      间

2020-11-12

类    型

身份验证绕过

等      级

高危

远程利用

影响范围

<10.0.1

<9.1.5

 <9.0.11

 <8.1.17

 

0x01 漏洞详情

image.png 

2020年11月11日,Palo Alto Networks发布安全通告,PAN-OS的GlobalProtect SSL VPN组件中存在一个身份验证绕过漏洞(CVE-2020-2050),其CVSS评分8.2。

当网关的身份验证方式配置为完全基于证书时,攻击者可以利用此漏洞绕过所有使用无效证书的客户端证书检查,并能够以任何用户的身份进行身份验证,最终获得对VPN网络资源的访问权限。

将SSL VPN配置为客户端证书验证影响的功能包括:

GlobalProtect Gateway

GlobalProtect Portal

GlobalProtect Clientless VPN

在将客户端证书验证与其它身份验证方法结合使用的情况下,此漏洞将使得证书添加的保护被忽略。

此漏洞会影响使用GlobalProtect SSL VPN并将网关和门户网站配置为允许用户使用客户端证书身份验证的PAN OS设备。此外,如果使用了客户端证书认证,则基于IPSec的VPN也将受到影响。如果未使用客户端证书进行身份验证,则无法利用此漏洞。


0x02 处置建议

目前Palo Alto Networks已经发布了更新版本。建议参考下表及时升级:

版本号

受影响版本

更新版本

PAN OS 10.0

<10.0.1

> = 10.0.1

PAN OS 9.1

<9.1.5

> = 9.1.5

PAN OS 9.0

<9.0.11

> = 9.0.11

PAN OS 8.1

<8.1.17

> = 8.1.17

 

临时措施:

将GlobalProtect SSL VPN配置为要求用户使用其凭证进行身份验证。

下载链接:

https://www.paloaltonetworks.com/search

0x03 参考链接

https://security.paloaltonetworks.com/CVE-2020-2050

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2050

0x04 时间线

2020-11-11  Palo Alto Networks发布安全公告

2020-11-12  VSRC发布安全通告

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

 

image.png