Palo Alto Networks раскрылакритическую уязвимость, обнаруженную в операционной системе PAN‑OS всех ее брандмауэров следующего поколения, которая может позволить злоумышленникам, не прошедшим проверку подлинности в сети, обойти аутентификацию.

Согласно веб-сайту компании, PAN-OS - это программное обеспечение, которое обеспечивает работу всех брандмауэров Palo Alto Networks следующего поколения.

«Когда включена проверка подлинности на языке разметки безопасности (SAML) и опция «Проверять сертификат поставщика удостоверений» отключена (не отмечена), неправильная проверка подписей в проверке подлинности SAML PAN-OS позволяет злоумышленнику, не прошедшему проверку подлинности на сети, получить доступ к защищенным ресурсам» », сообщает официальный бюллетень безопасности компании.

Хотя параметр «Проверять сертификат поставщика удостоверений» обычно не следует отключать, этот вариант настройки рекомендуется в официальных руководствах по развертыванию, предоставляемых Microsoft, Okta, Ping Identity, Duo и SecureAuth, о чём сообщает Bob Rudis из Rapid7.

«У нас нет специального исследования Sonar для устройств GlobalProtect PAN-OS, но наши общие исследования обнаружили чуть более 69 000 узлов, 28 188 (40,6%) из которых находятся в США», - сказал Рудис.