Alertas de seguridad

Vulnerabilidad crítica afecta autenticación SAML en PAN-OS

Esta vulnerabilidad crítica afecta la autenticación basada en el Lenguaje de Marcado de Aserción de Seguridad, Security Assertion Markup Language, (SAML), por sus siglas en inglés en PAN-OS. Cuando la misma está habilitada y la opción 'Validar certificado de proveedor de identidad' está deshabilitada (desmarcada), la verificación incorrecta de las firmas en la autenticación SAML PAN-OS permite que un atacante no autenticado basado en la red acceda a recursos protegidos. El atacante debe tener acceso de red al servidor vulnerable para aprovechar esta vulnerabilidad.

Cuando la autenticación del Lenguaje de marcado de aserción de seguridad (SAML) está habilitada y la opción 'Validar certificado de proveedor de identidad' está deshabilitada (desmarcada), la verificación incorrecta de las firmas en la autenticación SAML PAN-OS permite que un atacante no autenticado basado en la red acceda a recursos protegidos. El atacante debe tener acceso de red al servidor vulnerable para aprovechar esta vulnerabilidad.

Este problema afecta a las versiones de PAN-OS 9.1 anteriores a PAN-OS 9.1.3; PAN-OS 9.0 versiones anteriores a PAN-OS 9.0.9; PAN-OS 8.1, PAN-OS 8.1.15, y todas las versiones de PAN-OS 8.0 (EOL). Este problema no afecta a PAN-OS 7.1.

Esta falla no puede ser explotada si SAML no se usa para la autenticación o si la opción 'Validar certificado de proveedor de identidad' está habilitada (marcada) en el perfil del servidor del proveedor de identidad SAML.

Los recursos que pueden protegerse mediante la autenticación de inicio de sesión único (SSO) basada en SAML son:

GlobalProtect Gateway,
GlobalProtect Portal,
GlobalProtect Clientless VPN,
Authentication and Captive Portal,
PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces,
Prisma Access


En el caso de GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal y Prisma Access, un atacante no autenticado con acceso a la red a los servidores afectados puede obtener acceso a recursos protegidos si lo permiten las políticas de autenticación y seguridad configuradas. No hay impacto en la integridad y disponibilidad de la puerta de enlace, portal o servidor VPN. Un atacante no puede inspeccionar ni alterar las sesiones de los usuarios habituales. En el peor de los casos, esta es una vulnerabilidad de gravedad crítica con un puntaje base de CVSS de 10.0 (CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H /UN).

En el caso de las interfaces web PAN-OS y Panorama, este problema permite que un atacante no autenticado con acceso de red a las interfaces web PAN-OS o Panorama inicie sesión como administrador y realice acciones administrativas. En el peor de los casos, esta es una vulnerabilidad de gravedad crítica con una puntuación básica de CVSS de 10.0 (CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I : H / A: H). Si las interfaces web solo son accesibles para una red de administración restringida, entonces el problema se reduce a un puntaje base de CVSS de 9.6 (CVSS: 3.1 / AV: A / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H).

Palo Alto Networks no tiene conocimiento de ningún intento malicioso para explotar esta vulnerabilidad.

Acciones Recomendadas

Este problema se soluciona en PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 y todas las versiones posteriores.

Importante: Asegúrese de que el certificado de firma para su proveedor de identidad SAML esté configurado como el 'Certificado de proveedor de identidad' antes de actualizar a una versión fija para garantizar que sus usuarios puedan continuar autenticándose con éxito. La configuración del 'Certificado de proveedor de identidad' es una parte esencial de una configuración de autenticación SAML segura. https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication

Los detalles de todas las acciones requeridas antes y después de actualizar PAN-OS están disponibles en https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK 

Para eliminar sesiones no autorizadas en los portales y puertas de enlace de GlobalProtect, Prisma Access administrado a través de Panorama, cambie el certificado utilizado para cifrar y descifrar la cookie de Anulación de autenticación en el portal y puertas de enlace de GlobalProtect utilizando la interfaz web de Panorama o firewall. Consulte este artículo para configurar las cookies de anulación de autenticación: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXy