PAN OS操作系统曝“10分”罕见漏洞,需立即修复
今天,美国网络司令部发布Twitter:“请立即修补受CVE-2020-2021影响的所有设备,尤其是在使用SAML的情况下。”
PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统,该操作系统被披露存在严重安全漏洞:CVE-2020-2021。
特殊的是,这是一个罕见地在CVSS v3漏洞严重等级中获得满分10分的安全漏洞。10分,从危害程度上来说,意味着该漏洞不仅易于利用,不需要攻击者具备高级技术技能,而且还可以通过网络进行远程利用,无需攻击者具备对目标设备的初步了解。从技术上来说,这是一个身份验证绕过漏洞,允许攻击者无需提供有效凭据即可访问设备。
该漏洞一旦被利用,攻击者就可以更改PAN OS的设置和功能。尽管更改操作系统功能似乎影响不大,但该漏洞实际上可用于禁用防火墙或VPN访问控制策略,从而禁用整个PAN-OS设备。
漏洞影响
PAN-OS设备必须处于特定配置中(禁用“验证身份提供者证书”选项并且启用SAML),该漏洞才能被利用。
然而,在一些供应商手册上,指示了PAN-OS所有者在使用第三方身份提供程序时设置这种特定的配置,例如在PAN-OS设备上使用Duo身份验证,或Centrify、Trusona、Okta的第三方身份验证解决方案。目前,企业和政府部门中就广泛使用了Duo身份验证。
支持这两个选项的易遭到攻击的设备包括以下:
- GlobalProtect网关
- GlobalProtect门户
- GlobalProtectClientless VPN
- Authentication and Captive Portal
- PAN-OS下一代防火墙(PA系列,VM系列)和Panorama Web界面
- Prisma Access 系统
已知可运行CVE-2020-2021的易受攻击的PAN OS列表:
缓解措施
既然PAN-OS设备必须处于特定配置中,该漏洞才能被利用。因此,只要这些设备在2个设置中依然保持默认状态,不手动配置“禁用‘验证身份提供者证书’选项并且启用SAML”,那么安全性可以得到一定的保障。
最后,该漏洞还引发了对于APT攻击的担忧,在Twitter上出现的一些言论都倾向该漏洞很可能被民族国家的黑客组织利用发起攻击。因此,建议企业立即对已有的PAN-OS设备实施漏洞缓解措施。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
冠状病毒疫情将对未来企业安全产生的三种影响
随着世界各国开始计划逐步开放出行禁令并摆脱冠状病毒疫情的影响,现在显然很难回到以前工作和生活的正常状态。与其相反,这将成为一种新常态。疫情的影响将是持久的,并将在未来改变商业和社会。 很多首席信息安全官关注于眼前的威胁,例如保护其员工免遭以疫情为主题的网络钓鱼活动和恶意软件的袭击。但是,首席信息安全官还必须考虑冠状病毒疫情将如何长期影响其组织的运营、员工模型和安全策略。疫情将以三种方式影响网络安全行业,以及人们可能面对的“新常态”可能是什么样子。 1. 越来越多的远程工作的员工改变威胁格局 随着全球各国颁布出行禁令,企业争相研究如何快速启用大规模的远程员工队伍。根据美国劳工统计局的调查,只有7%的劳动力可以选择在疫情发生之前在家工作。首席信息安全官当前面临的紧迫挑战集中在容量和利用率上,这可以确保他们具有足够的VPN容量和许可证来满足员工所需的视频会议和协作工具。企业迅速增加了对云计算服务的使用,只是发现它们有时并不安全。 在掌握了实现远程劳动力所需的初始技术之后,首席信息安全官面临着新的威胁态势。他们使用防火墙和VPN在组织周围创建的虚拟边界已经消失。在家工作的员工可能会使用不安全的...
- 下一篇
Palo Alto Networks(派拓网络)推出基于机器学习技术的下一代防火墙
2020年6月18日 - 北京——随着企业需要保护日益增多的网络入口,以抵御不断进化和升级的网络攻击,全球网络安全企业 Palo Alto Networks(派拓网络)日前宣布推出基于机器学习技术的下一代防火墙(NGFW)。该产品将机器学习(ML)技术嵌入防火墙核心,主动帮助并智能地阻止威胁,保护物联网设备,并推荐安全策略,此举再次树立了网络安全新标杆。 Palo Alto Networks(派拓网络)创始人兼首席技术官Nir Zuk表示,“13年前我们曾创造了下一代防火墙,彻底改变了网络安全格局。随着企业网络的扩展——混合云、物联网设备和家庭办公环境——以及攻击方式的快速且自动化演进,我们再次需要一种全新的方式来应对网络安全问题。PAN-OS 10.0开创了全球首款基于机器学习技术的下一代防火墙,在多个领域不断学习并主动提升安全性能,助力安全专业人员不仅仅是跟上安全趋势,而是保持领先地位。” Palo Alto Networks(派拓网络)PAN-OS®10.0基于机器学习技术的下一代防火墙引入了多项业界首创功能,包括: 1. 基于机器学习技术的本地恶意软件和网络钓鱼防御功能 随着攻...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- 设置Eclipse缩进为4个空格,增强代码规范
- Mario游戏-低调大师作品
- MySQL8.0.19开启GTID主从同步CentOS8
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16