GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-2050 | PAN-OS身份验证绕过缝隙公告

颁布功夫 2020-11-12

0x00 缝隙概述

CNVD ID

CVE-2020-2050

时间

2020-11-12

类型

身份验证绕过

等级

高危

远程利用

是

影响领域

<10.0.1

<9.1.5

<9.0.11

<8.1.17

0x01 缝隙详情

2020年11月11日，Palo Alto Networks颁布安全公告，PAN-OS的GlobalProtect SSL VPN组件中存在一个身份验证绕过缝隙（CVE-2020-2050），其CVSS评分8.2。

当网关的身份验证方式配置为齐全基于证书时，攻击者能够利用此缝隙绕过所有使用无效证书的客户端证书查抄，并可能以任何用户的身份进行身份验证，最终获得对VPN网络资源的接见权限。

将SSL VPN配置为客户端证书验证影响的职能蕴含：

GlobalProtect Gateway

GlobalProtect Portal

GlobalProtect Clientless VPN

在将客户端证书验证与其它身份验证步骤结合使用的情况下，此缝隙将使得证书增长的�；け缓雎�。

此缝隙会影响使用GlobalProtect SSL VPN并将网关和门户网站配置为允许用户使用客户端证书身份验证的PAN OS设备。此表，若是使用了客户端证书认证，则基于IPSec的VPN也将受到影响。若是未使用客户端证书进行身份验证，则无法利用此缝隙。

0x02 措置建议

目前Palo Alto Networks已经颁布了更新版本。建议参考下表实时升级：

版本号	受影响版本	更新版本
PAN OS 10.0	<10.0.1	> = 10.0.1
PAN OS 9.1	<9.1.5	> = 9.1.5
PAN OS 9.0	<9.0.11	> = 9.0.11
PAN OS 8.1	<8.1.17	> = 8.1.17

一时措施：

将GlobalProtect SSL VPN配置为要求用户使用其凭证进行身份验证。

下载链接：

https://www.paloaltonetworks.com/search

0x03 参考链接

https://security.paloaltonetworks.com/CVE-2020-2050

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2050

0x04 功夫线

2020-11-11 Palo Alto Networks颁布安全布告

2020-11-12 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】