ALERTE : Vulnérabilité Palo Alto Networks PAN-OS (03.07.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité Palo Alto Networks PAN-OS (03.07.20)

Messagede pierre » 03 Juil 2020, 19:17

Vulnérabilité dans Palo Alto Networks PAN-OS (corrigée le 03 juillet 2020)

Version initiale de l'alerte
03 juillet 2020

Source(s)
Voir Documentation

Qu'est-ce qu'un CVE | Full disclosure | Zero Day | Tromperie et Full disclosure

Risque(s)
Contournement de la politique de sécurité

Systèmes affectés
PAN-OS versions 9.1.x antérieures à 9.1.3
PAN-OS versions 9.0.x antérieures à 9.0.9
PAN-OS versions 8.x antérieures à 8.1.15

Résumé
Le 29 juin 2020, Palo Alto Networks a publié un avis de sécurité concernant la vulnérabilité CVE-2020-2021 (viewtopic.php?f=173&t=35674).

Cette vulnérabilité permet de contourner le système d’authentification sur plusieurs de ses produits lorsque le mode d’authentification Security Assertion Markup Language (SAML) est activé.

Dans le protocole SAML, on rencontre trois types d'entités:

l'utilisateur, ou le commettant (principal) ;
le service (service provider) ;
le fournisseur d'identité (identity provider)

Le fournisseur d'identité sert de tiers de confiance entre l'utilisateur et le service et permet de vérifier les identités et les autorisations de chacun.

L'autorisation délivrée par le fournisseur d'identité est communiquée au service sous la forme d'un document XML signé par le fournisseur d'identité.

Ici, la vulnérabilité se trouve dans le mécanisme de vérification de la signature par le service (Palo Alto Networks). Un attaquant non-authentifié peut forger une autorisation que le service acceptera comme ayant été validée par le fournisseur d'identité. Il pourra ainsi s'authentifier de manière frauduleuse et obtenir les mêmes droits que la personne pour laquelle il se fait passer.

Contournement provisoire
Si le mode d'authentification SAML n'est pas activé, la vulnérabilité ne peut être exploitée.

Si l'option de vérification de certificats est activée ("Validate Identity Provider Certificate"), la vulnérabilité ne peut être exploitée mais cela requiert que le fournisseur d'identité dispose d'un certificat signé par une autorité de certification. La vérification de certificats n'est pas une obligation dans le protocole SAML, d'ailleurs tous les fournisseurs ne prévoient pas cette possibilité.

Le CERT-FR recommande donc l'application des mises à jour dans les plus brefs délais.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Palo Alto Networks CVE-2020-2021 du 29 juin 2020
https://security.paloaltonetworks.com/CVE-2020-2021

Avis CERT-FR CERTFR-2020-AVI-398 du 29 juin 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-398/

Référence CVE CVE-2020-2021
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-2021



Historique des alertes et avis sur le produit Palo Alto PAN-OS
Historique des alertes et avis sur le produit Palo Alto PAN-OS
Historique des alertes et avis sur les produits Palo Alto
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26894
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité Palo Alto Networks PAN-OS (03.07.

Messagede pierre » 05 Aoû 2020, 16:10

Clôture de l'alerte.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26894
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités