Kritische Sicherheitslücke mit Höchstwertung in Firewalls von Palo Alto
Unter bestimmten Voraussetzungen könnten Angreifer unter anderem Firewalls und Gateways von Palo Alto attackieren.
(Bild: Artur Szczybylo/Shutterstock.com)
Aufgrund einer kritischen Sicherheitslücke im Netzwerk-Betriebssystem PAN-OS von Palo Alto sind verschiedene Geräte verwundbar. In einigen Fällen könnten sich Angreifer Admin-Rechte verschaffen und die volle Kontrolle erlangen.
Betroffene Geräte
Abgesichert sind die PAN-OS-Versionen 8.1.15, 9.0.9 und 9.1.3. Alle vorigen Ausgaben sind bedroht. PAN-OS 7.1 ist nicht betroffen. Voraussetzungen für die Verwundbarkeiten sind, dass die Authentifizierung über Security Assertion Markup Language (SAML) stattfindet und die Option "Validate Identity Provider Certificate" deaktiviert ist. Aus der Warnmeldung von Palo Alto geht nicht hervor, ob diese Funktionen standardmäßig aktiviert sind.
Konkret bedroht sind folgende Produkte:
- Authentication and Captive Portal,
- GlobalProtect Gateway,
- GlobalProtect Portal,
- GlobalProtect Clientless VPN,
- PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces,
- Prisma Access
Für eine erfolgreiche Attacke benötigt ein Angreifer Netzwerkzugriff auf verwundbare Server. Ist das gegeben und sind die beiden Parameter aktiviert, sind ohne Authentifizierung seitens eines Angreifers Zugriffe auf eigentlich geschützte Bereiche vorstellbar, warnt Palo Alto. Sind Attacken erfolgreich, könnten Angreifer zum Beispiel das Panorama Web Interface mit Admin-Rechten bedienen.
Die Sicherheitslücke (CVE-2020-2021) ist mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Admins sollten betroffenen Geräte dementsprechend zügig patchen. Palo Alto gibt an, dass sie bislang keine Attacken beobachtet haben.
Alternative zum Patch
Admins, die das Sicherheitsupdate derzeit nicht installieren können, sollten die Aktivierung von Validate Identity Provider Certificate sicherstellen, um Geräte abzusichern. Alternativ können sie auch komplett auf SAML verzichten und eine andere Authentifizierungsmethode nutzen. In der Warnmeldung führt Palo Alto noch weitere Infos zum Update aus.
[UPDATE 30.06.2020 14:35 Uhr]
Geräte sind nur bedroht, wenn SAML aktiviert ist und Validate Identity Provider Certificate deaktiviert ist. In der ersten Version der Meldung stand, dass Validate Identity Provider Certificate für die Verwundbarkeit aktiviert sein muss. Das ist falsch. (des)
