PAN-OS: Authentication Bypass in SAML Authentication

PAN-OS: Authentication Bypass in SAML Authentication

PAN-OS: Authentication Bypass in SAML Authentication

ကမ္ဘာ့နာမည်ကြီး security product တွေကို ထုတ်တဲ့ Palo Alto Networks က 29-6-2020 မှာ သူတို့ product တွေကို အကျိုးသက်ရောက်မှု ဖြစ်စေနိုင်တဲ့ vulnerability တစ်ခုကို ထုတ်ပြန်ခဲ့ပါတယ်။ PAN-OS 9.1.3 အောက် 9.0.9 အောက် 8.1.15 အောက်နဲ့ 8.0 တွေမှာ affect ဖြစ်စေနိုင်တဲ့ ဒီ vulnerability ကို Cameron Duck နဲ့ Salman khan တို့က တွေ့ရှိ report တင်ခဲ့တာ ဖြစ်ပါတယ်။ CVE number ကတော့ CVE-2020-2021 ဖြစ်ပါတယ်။ ဒီ vulnerability ဟာ အလွန် အန္တရယ်များတာကြောင့် CVSS score 10  အထိ rating ရှိပါတယ်။ ဒီ vulnerability ဟာ Palo Alto security product တွေ ရဲ့  SAML (Security Assertion Markup Language) ပိုင်းမှာ သက်ရောက်မှုရှိတာ ဖြစ်ပါတယ်။ hacker တွေ အနေနဲ့ remote ကနေ authentication လုပ်စရာမလိုဘဲ ဒီ vulnerability ကနေမှ တဆင့်  ဝင်ရောက်ကာ organization ထဲက resources တွေကို access လုပ်သွားနိုင်ပါတယ်။ အထူးသဖြင့် Palo Alto Networks ရဲ့ VPN ဖြစ်တဲ့ global protect ကို providers တွေဖြစ်တဲ့ Azure AD, Duo, Safenet  တွေမှာ SSO sync (SAML)  လုပ်ထားခဲ့မယ်ဆိုရင်ပေါ့။

Attacker တွေ အနေနဲ့ ဒီ vulnerability ကို အောင်မြင်စွာ exploit လုပ်ဖို့ condition ၂ ခု ရှိဖို့ လိုပါတယ်။

Prerequisite #1: SAML authentication required.

(Vulnerable ဖြစ်တဲ့ firmware တင်ထားတဲ့ Palo Alto Devices မှ ဒီ SAML function ကို on ထားရပါမယ်)

Prerequisite #2: Validate Identity Provider Certificate option need to be disabled (unchecked)

SSO မှာ identity provider ရဲ့ certificate ကို စစ်ဆေးတဲ့ option ကို လည်း disable လုပ်ထားရင် ဒီ vulnerable က affect ဖြစ်ပါတယ်။

လက်ရှိ အချိန်မှာတော့ ဒီ vulnerability ကို exploit လုပ်မယ့် POC exploit ကတော့ ထွက်ရှိခြင်းတော့ မရှိသေးသော်လည်း အနှေးနဲ့အမြန် ထွက်လာနိုင်တာကြောင့် လူကြီးမင်းတို့အနေဖြင့် မိမိတို့ organization ထဲက Palo Alto Product တွေ ရဲ့ firmware တွေကို vulnerable မဖြစ်တဲ့ version တွေကို upgrade လုပ်ထားဖို့ လိုအပ်ကြောင်းပြောကြားလိုပါတယ်။

ဒီတော့ ဒီ vulnerability ကို fix လုပ်ဖို့ အကောင်းဆုံးက patch လုပ်ခြင်းပါ။ ။ တကယ်လို့ firmware upgrade လုပ်ခြင်းဟာ မဖြစ်နိုင်တဲ့အနေအထားမှာရှိခဲ့မယ်ဆိုရင် SAML ကို disable လုပ်ပြီး သူ့အစား တခြား authentication method တစ်ခု နဲ့အစားထိုးခြင်းပါပဲ။ medication လုပ်လို့ရတဲ့ နည်းတွေနဲ့ vulnerable မဖြစ်တဲ့ PAN-OS ဗားရှင်းတွေကို https://security.paloaltonetworks.com/CVE-2020-2021 မှာသွားကြည့်လို့ရပါတယ်။

 

ကျနော်တို့ NEX4 ကုမ္ပဏီအနေဖြင့် ဒီ vulnerability နဲ့ပတ်သတ်၍ သက်ဆိုင်သော customers များအားလုံးအား အကြောင်းကြားထားပြီးဖြစ်ပြီး ဖြစ်လာနိုင်သော အကျိုးသက်ရောက်မှုများအား လျော့ချနိုင်စေဖို့အတွက်ကိုလည်း အချိန်နှင့်တပြေးညီဆောင်ရွက်ပေးထားလျက်ရှိပါသည်။

PAN-OS Authentication Bypass in SAML Authentication Vulnerability Alert

CVE

CVE:2020-2021 (PAN-OS: Authentication Bypass in SAML Authentication)

Vulnerability Summary

Vulnerability Info: an authentication bypass vulnerability in the Security Assertion Markup Language (SAML) authentication in PAN-OS.

PAN-OS devices may be configured to use SAML authentication with single sign-on (SSO) for access management. Palo Alto Networks lists the following resources that use SAML SSO as potentially affected by this vulnerability:

GlobalProtect Gateway

GlobalProtect Portal

GlobalProtect Clientless VPN

Authentication and Captive Portal

PAN-OS next-gen firewalls including:

PA-Series

VM-Series

Panorama Web Interfaces

Prisma Access

Vulnerability Published Date29/6/2020

CVSS Score

10

POC Exploit in the wild?

At the time of writing, there was no working PoC code available for this vulnerability. However, we expect a PoC will become available in the near future

Vulnerability Prerequisites

The advisory specifies that this vulnerability could be exploited when the following conditions are met:

Prerequisite #1: SAML authentication required.

As implied in the vulnerability description, a device must be configured to use SAML authentication in order to be vulnerable. If the device is not configured to use SAML authentication, it is not vulnerable.

Prerequisite #2: “Validate Identity Provider Certificate” must be disabled.

Under the SAML Identity Provider Server Profile configuration section, the “Validate Identity Provider Certificate” option needs to be disabled (unchecked) in order for the device to be vulnerable

Affected PAN-OS Version 
Solutions

Enterprise admins are advised to upgrade to PAN-OS versions 9.1.3, 9.0.9 or 8.1.15 if possible. Palo Alto Networks has provided instructions for doing that in a way that doesn’t break the authentication capability for users.

If updating is not possible, the risk can be temporarily mitigated by using a different authentication method and disabling SAML authentication.

References:

https://www.theregister.com/2020/06/30/palo_alto_networks_critical_bypass_bug/

https://www.cbronline.com/news/critical-pan-os-vulnerability-palo-alto

https://security.paloaltonetworks.com/CVE-2020-2021

Don’t forget to share this post!