Киберкомандование США предупредило, что в скором времени правительственные хак-группы, вероятно, начнут использовать уязвимость CVE-2020-2021, обнаруженную в PAN-OS, операционной системе, работающей на брандмауэрах и корпоративных VPN-устройствах производства Palo Alto Networks. Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве. С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными. Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен. Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят: GlobalProtect Gateway; GlobalProtect Portal; GlobalProtect Clientless VPN; Authentication and Captive Portal; PAN-OS брандмауэры (серии PA и VM) и веб-интерфейсы Panorama; Системы Prisma Access. К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется ­настраивать именно такую конфигурацию. К примеру, при использовании аутентификации Duo или сторонних решений от Centrify, Trusona и Okta­. В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах. По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200. «Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate. В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks. Уязвимые версии PAN-OS