Palo Alto Networks修补其防火墙操作系统的重大安全漏洞

美国安全企业Palo Alto Networks在本周一（6/29），修补其防火墙操作系统PAN-OS的一个重大安全漏洞，该编号为CVE-2020-2021的漏洞将允许黑客访问受保护的资源。尽管尚未传出任何相关的攻击行动，但美国网战司令部（U.S. CyberCommand）随后即发出警告，表示海外黑客应该很快就会开采该漏洞。

PANOS为Palo Alto Networks所有新一代防火墙设备所使用的操作系统，Palo Alto Networks说明，若是在PANOS中激活安全断言标记语言（Security Assertion Markup Language，SAML）认证功能，同时关闭了验证身份供应商凭证（Validate Identity Provider Certificate）功能，当于PANOS SAML认证中不当的签名验证时，就会允许未经授权的黑客访问受保护的资源，但前提是黑客必须通过网络访问目标服务器才能开采该漏洞。受影响的产品涵盖GlobalProtect Gateway、GlobalProtect Portal、GlobalProtect Clientless VPN、Authentication and Captive Portal、采用PAN-OS的防火墙、Panorama网页接口，以及Prisma Access systems等。

如果用户未利用SMAL进行认证，或是激活了验证身份供应商凭证功能，便不会触发该漏洞。

披露该漏洞的安全企业Rapid7指出，Project Sonar已在AWS的16个区域中发现超过2,000个GlobalProtect节点，而Rapid7也于微软Azure上找到近1,500个GlobalProtect节点，此外，全球大概有6.9万个Palo Alto Networks防火墙节点，其中有40.56%位于美国，5.09%位于中国，4.25%位于英国，3.62%在德国，以及3.28%在澳洲。

CVE-2020-2021波及PAN-OS 9.1.3之前的9.1版，PAN-OS 9.0.9之前的9.0版，PAN-OS 8.1.15之前的8.1版，以及所有的PAN -OS 8.0版本，但并不影响PAN-OS 7.1。

虽然CVE-2020-2021漏洞无法用来执行远程程序攻击，且迄今尚未被开采，不过由于要开采它既不需要权限，也不复杂，不需用户交互，却可能危及组织机密与健全，使得美国网战司令部很快就提出警告，相信这是个容易遭海外黑客觊觎的漏洞。

另一方面，Rapid7则提醒，该漏洞也许不是PANOS独有的，其它导入SAML的企业也可能面临同样的问题。