CVE-2020-2050 | PAN-OS身份验证绕过漏洞通告
发布时间 2020-11-120x00 漏洞概述
CNVD ID | CVE-2020-2050 | 时 间 | 2020-11-12 |
类 型 | 身份验证绕过 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | <10.0.1 <9.1.5 <9.0.11 <8.1.17 |
0x01 漏洞详情
2020年11月11日,Palo Alto Networks发布安全通告,PAN-OS的GlobalProtect SSL VPN组件中存在一个身份验证绕过漏洞(CVE-2020-2050),其CVSS评分8.2。
当网关的身份验证方式配置为完全基于证书时,攻击者可以利用此漏洞绕过所有使用无效证书的客户端证书检查,并能够以任何用户的身份进行身份验证,最终获得对VPN网络资源的访问权限。
将SSL VPN配置为客户端证书验证影响的功能包括:
GlobalProtect Gateway
GlobalProtect Portal
GlobalProtect Clientless VPN
在将客户端证书验证与其它身份验证方法结合使用的情况下,此漏洞将使得证书添加的保护被忽略。
此漏洞会影响使用GlobalProtect SSL VPN并将网关和门户网站配置为允许用户使用客户端证书身份验证的PAN OS设备。此外,如果使用了客户端证书认证,则基于IPSec的VPN也将受到影响。如果未使用客户端证书进行身份验证,则无法利用此漏洞。
0x02 处置建议
目前Palo Alto Networks已经发布了更新版本。建议参考下表及时升级:
版本号 | 受影响版本 | 更新版本 |
PAN OS 10.0 | <10.0.1 | > = 10.0.1 |
PAN OS 9.1 | <9.1.5 | > = 9.1.5 |
PAN OS 9.0 | <9.0.11 | > = 9.0.11 |
PAN OS 8.1 | <8.1.17 | > = 8.1.17 |
临时措施:
将GlobalProtect SSL VPN配置为要求用户使用其凭证进行身份验证。
下载链接:
https://www.paloaltonetworks.com/search
0x03 参考链接
https://security.paloaltonetworks.com/CVE-2020-2050
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2050
0x04 时间线
2020-11-11 Palo Alto Networks发布安全公告
2020-11-12 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/