Risque(s)

  • Contournement de la politique de sécurité

Systèmes affectés

  • PAN-OS versions 9.1.x antérieures à 9.1.3
  • PAN-OS versions 9.0.x antérieures à 9.0.9
  • PAN-OS versions 8.x antérieures à 8.1.15

Résumé

Le 29 juin 2020, Palo Alto Networks a publié un avis de sécurité concernant la vulnérabilité CVE-2020-2021.

Cette vulnérabilité permet de contourner le système d’authentification sur plusieurs de ses produits lorsque le mode d’authentification Security Assertion Markup Language (SAML) est activé.

Dans le protocole SAML, on rencontre trois types d'entités:

  1. l'utilisateur, ou le commettant (principal) ;
  2. le service (service provider) ;
  3. le fournisseur d'identité (identity provider)

Le fournisseur d'identité sert de tiers de confiance entre l'utilisateur et le service et permet de vérifier les identités et les autorisations de chacun.

L'autorisation délivrée par le fournisseur d'identité est communiquée au service sous la forme d'un document XML signé par le fournisseur d'identité.

Ici, la vulnérabilité se trouve dans le mécanisme de vérification de la signature par le service (Palo Alto Networks). Un attaquant non-authentifié peut forger une autorisation que le service acceptera comme ayant été validée par le fournisseur d'identité. Il pourra ainsi s'authentifier de manière frauduleuse et obtenir les mêmes droits que la personne pour laquelle il se fait passer.

Contournement provisoire

Si le mode d'authentification SAML n'est pas activé, la vulnérabilité ne peut être exploitée.

Si l'option de vérification de certificats est activée ("Validate Identity Provider Certificate"), la vulnérabilité ne peut être exploitée mais cela requiert que le fournisseur d'identité dispose d'un certificat signé par une autorité de certification. La vérification de certificats n'est pas une obligation dans le protocole SAML, d'ailleurs tous les fournisseurs ne prévoient pas cette possibilité.

Le CERT-FR recommande donc l'application des mises à jour dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation