PAN-OS: Authentication Bypass in SAML Authentication
PAN-OS: Authentication Bypass in SAML Authentication
ကမ္ဘာ့နာမည်ကြီး security product တွေကို ထုတ်တဲ့ Palo Alto Networks က 29-6-2020 မှာ သူတို့ product တွေကို အကျိုးသက်ရောက်မှု ဖြစ်စေနိုင်တဲ့ vulnerability တစ်ခုကို ထုတ်ပြန်ခဲ့ပါတယ်။ PAN-OS 9.1.3 အောက် 9.0.9 အောက် 8.1.15 အောက်နဲ့ 8.0 တွေမှာ affect ဖြစ်စေနိုင်တဲ့ ဒီ vulnerability ကို Cameron Duck နဲ့ Salman khan တို့က တွေ့ရှိ report တင်ခဲ့တာ ဖြစ်ပါတယ်။ CVE number ကတော့ CVE-2020-2021 ဖြစ်ပါတယ်။ ဒီ vulnerability ဟာ အလွန် အန္တရယ်များတာကြောင့် CVSS score 10 အထိ rating ရှိပါတယ်။ ဒီ vulnerability ဟာ Palo Alto security product တွေ ရဲ့ SAML (Security Assertion Markup Language) ပိုင်းမှာ သက်ရောက်မှုရှိတာ ဖြစ်ပါတယ်။ hacker တွေ အနေနဲ့ remote ကနေ authentication လုပ်စရာမလိုဘဲ ဒီ vulnerability ကနေမှ တဆင့် ဝင်ရောက်ကာ organization ထဲက resources တွေကို access လုပ်သွားနိုင်ပါတယ်။ အထူးသဖြင့် Palo Alto Networks ရဲ့ VPN ဖြစ်တဲ့ global protect ကို providers တွေဖြစ်တဲ့ Azure AD, Duo, Safenet တွေမှာ SSO sync (SAML) လုပ်ထားခဲ့မယ်ဆိုရင်ပေါ့။
Attacker တွေ အနေနဲ့ ဒီ vulnerability ကို အောင်မြင်စွာ exploit လုပ်ဖို့ condition ၂ ခု ရှိဖို့ လိုပါတယ်။
Prerequisite #1: SAML authentication required.
(Vulnerable ဖြစ်တဲ့ firmware တင်ထားတဲ့ Palo Alto Devices မှ ဒီ SAML function ကို on ထားရပါမယ်)
Prerequisite #2: Validate Identity Provider Certificate option need to be disabled (unchecked)
SSO မှာ identity provider ရဲ့ certificate ကို စစ်ဆေးတဲ့ option ကို လည်း disable လုပ်ထားရင် ဒီ vulnerable က affect ဖြစ်ပါတယ်။
လက်ရှိ အချိန်မှာတော့ ဒီ vulnerability ကို exploit လုပ်မယ့် POC exploit ကတော့ ထွက်ရှိခြင်းတော့ မရှိသေးသော်လည်း အနှေးနဲ့အမြန် ထွက်လာနိုင်တာကြောင့် လူကြီးမင်းတို့အနေဖြင့် မိမိတို့ organization ထဲက Palo Alto Product တွေ ရဲ့ firmware တွေကို vulnerable မဖြစ်တဲ့ version တွေကို upgrade လုပ်ထားဖို့ လိုအပ်ကြောင်းပြောကြားလိုပါတယ်။
ဒီတော့ ဒီ vulnerability ကို fix လုပ်ဖို့ အကောင်းဆုံးက patch လုပ်ခြင်းပါ။ ။ တကယ်လို့ firmware upgrade လုပ်ခြင်းဟာ မဖြစ်နိုင်တဲ့အနေအထားမှာရှိခဲ့မယ်ဆိုရင် SAML ကို disable လုပ်ပြီး သူ့အစား တခြား authentication method တစ်ခု နဲ့အစားထိုးခြင်းပါပဲ။ medication လုပ်လို့ရတဲ့ နည်းတွေနဲ့ vulnerable မဖြစ်တဲ့ PAN-OS ဗားရှင်းတွေကို https://security.paloaltonetworks.com/CVE-2020-2021 မှာသွားကြည့်လို့ရပါတယ်။
ကျနော်တို့ NEX4 ကုမ္ပဏီအနေဖြင့် ဒီ vulnerability နဲ့ပတ်သတ်၍ သက်ဆိုင်သော customers များအားလုံးအား အကြောင်းကြားထားပြီးဖြစ်ပြီး ဖြစ်လာနိုင်သော အကျိုးသက်ရောက်မှုများအား လျော့ချနိုင်စေဖို့အတွက်ကိုလည်း အချိန်နှင့်တပြေးညီဆောင်ရွက်ပေးထားလျက်ရှိပါသည်။
PAN-OS Authentication Bypass in SAML Authentication Vulnerability Alert
CVE | CVE:2020-2021 (PAN-OS: Authentication Bypass in SAML Authentication) |
Vulnerability Summary | Vulnerability Info: an authentication bypass vulnerability in the Security Assertion Markup Language (SAML) authentication in PAN-OS. PAN-OS devices may be configured to use SAML authentication with single sign-on (SSO) for access management. Palo Alto Networks lists the following resources that use SAML SSO as potentially affected by this vulnerability: GlobalProtect Gateway GlobalProtect Portal GlobalProtect Clientless VPN Authentication and Captive Portal PAN-OS next-gen firewalls including: PA-Series VM-Series Panorama Web Interfaces Prisma Access |
Vulnerability Published Date | 29/6/2020 |
CVSS Score | 10 |
POC Exploit in the wild? | At the time of writing, there was no working PoC code available for this vulnerability. However, we expect a PoC will become available in the near future |
Vulnerability Prerequisites | The advisory specifies that this vulnerability could be exploited when the following conditions are met: Prerequisite #1: SAML authentication required. As implied in the vulnerability description, a device must be configured to use SAML authentication in order to be vulnerable. If the device is not configured to use SAML authentication, it is not vulnerable. Prerequisite #2: “Validate Identity Provider Certificate” must be disabled. Under the SAML Identity Provider Server Profile configuration section, the “Validate Identity Provider Certificate” option needs to be disabled (unchecked) in order for the device to be vulnerable |
Affected PAN-OS Version | |
Solutions | Enterprise admins are advised to upgrade to PAN-OS versions 9.1.3, 9.0.9 or 8.1.15 if possible. Palo Alto Networks has provided instructions for doing that in a way that doesn’t break the authentication capability for users. If updating is not possible, the risk can be temporarily mitigated by using a different authentication method and disabling SAML authentication. |
References:
https://www.theregister.com/2020/06/30/palo_alto_networks_critical_bypass_bug/
https://www.cbronline.com/news/critical-pan-os-vulnerability-palo-alto
Don’t forget to share this post!