【安全通报】SAML身份验证中的身份验证绕过漏洞

安全声明标记语言（SAML）是用于根据用户在另一上下文中的会话将其登录到当前应用程序中的标准。

2020 年 06 月 29 日， 白帽汇安全研究院监测发现 Palo Alto 官方发布了 SAML 身份验证机制绕过的风险通告，该漏洞编号为 CVE-2020-2021，漏洞等级：严重。

SAML 身份验证机制存在身份验证绕过的威胁。当 SAML 开启，同时 Validate Identity Provider Certificate（验证身份提供者证书）选项关闭时，未经身份验证的远程攻击者可以通过该漏洞绕过SAML身份验证机制访问受保护的资源。

漏洞描述

该漏洞有三个前置利用条件：

1. 使用SAML身份验证机制进行身份验证。
2. Validate Identity Provider Certificate(验证身份提供者证书)选项关闭。
3. 远程攻击者可以访问到存在漏洞的服务器。

只要符合以上三点，且基于SAML单点登录身份验证保护的资源，都受到该漏洞的影响：

• GlobalProtect Gateway
• GlobalProtect Portal
• GlobalProtect Clientless VPN
• Authentication and Captive Portal
• PAN-OS next-generation firewalls (PA-Series, VM-Series)
• Panorama web interfaces
• Prisma Access

对于GlobalProtect Gateways、GlobalProtect Portal、Clientless VPN、Captive Portal和Prisma Access这几个产品来说，未经身份验证的攻击者可以通过该漏洞绕过目标服务器的身份验证机制，访问到受到保护的资源。但是攻击者无法影响产品的完整性，也无法篡改普通用户的会话。

对于PAN-OS及Panorama web interfaces这两款产品来说，未经身份验证的攻击者可以以管理员的身份登录到产品的后台，并有权执行对应的管理操作。

根据官方描述，目前该漏洞未捕获到在野利用。

CVE 编号

CVE-2020-2021

影响范围

• PAN-OS 9.1：<9.1.3
• PAN-OS 9.0：<9.0.9
• PAN-OS 8.1：<8.1.15
• PAN-OS 8.0：全版本

根据目前FOFA系统最新数据，显示全球范围内（app="PaloAlto-GlobalProtect" || app="Captive-Portal-Login-Page"）共有 59,862 个相关服务对外开放。美国使用数量最多，共有 30,275 个；中国第二，共有 10,410 个；德国第三，共有 3,533 个；英国第四，共有 3,305 个；澳大利亚第五，共有 3,051 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 2,651 个；上海第二，共有 2,629 个；北京第三，共有 1,509 个，江苏第四，共有 570 个；广东第五，共有 405 个。

修复建议

• PAN-OS 9.1：升级到PAN-OS 9.1.3版本

• PAN-OS 9.0：升级到PAN-OS 9.0.9版本

• PAN-OS 8.1：升级到PAN-OS 8.1.15版本

• PAN-OS 8.0：PAN-OS 8.0已于2019年10月31日停止维护，建议用户更新到最新版本

参考

[1] https://mp.weixin.qq.com/s/qSucV-TgHaJguu8ZX7vXxg

[2] https://security.paloaltonetworks.com/CVE-2020-2021

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。