Palo Alto Networks раскрылакритическую уязвимость (https://security.paloaltonetworks.com/CVE-2020-2021), обнаруженную в операционной системе PAN‑OS (http://docs.paloaltonetworks.com/pan-os) всех ее брандмауэров следующего поколения, которая может позволить злоумышленникам, не прошедшим проверку подлинности в сети, обойти аутентификацию.

Согласно веб-сайту компании, PAN-OS - это программное обеспечение, которое обеспечивает работу всех брандмауэров Palo Alto Networks следующего поколения.

«Когда включена проверка подлинности на языке разметки безопасности (SAML) и опция «Проверять сертификат поставщика удостоверений» отключена (не отмечена), неправильная проверка подписей в проверке подлинности SAML PAN-OS позволяет злоумышленнику, не прошедшему проверку подлинности на сети, получить доступ к защищенным ресурсам» », сообщает официальный бюллетень безопасности компании (https://security.paloaltonetworks.com/CVE-2020-2021).

Хотя параметр «Проверять сертификат поставщика удостоверений» обычно не следует отключать, этот вариант настройки рекомендуется в официальных руководствах по развертыванию, предоставляемых Microsoft, Okta, Ping Identity, Duo и SecureAuth, о чём сообщает Bob Rudis (https://twitter.com/hrbrmstr/status/1277683687996481543) из Rapid7. (https://twitter.com/hrbrmstr/status/1277683687996481543)

«У нас нет специального исследования Sonar для устройств GlobalProtect PAN-OS, но наши общие исследования обнаружили чуть более 69 000 узлов, 28 188 (40,6%) из которых находятся в США», - сказал Рудис.

Источник: https://www.bleepingcomputer.com/ne...atches-critical-vulnerability-in-firewall-os/ (https://www.bleepingcomputer.com/news/security/palo-alto-networks-patches-critical-vulnerability-in-firewall-os/)​