TLP: White
NIVEL DE RIESGO – CVSS v3.1: 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen la vulnerabilidad en PAN-OS, liberadas por la compañía.
Vector de ataque: Red.
Impacto: El aprovechamiento exitoso de esta vulnerabilidad podría permitir a un usuario malicioso evitar la autenticación y acceder a recursos protegidos.

Descripción

El pasado 29 de junio de 2020, Palo Alto publicó actualizaciones para corregir una vulnerabilidad que afecta a PAN-OS. El identificador asignado a esta falla es CVE-2020-2021 (CVSS v3.1 10.0 [Crítico]).

La vulnerabilidad puede ser aprovechada bajo ciertas condiciones, una de ellas es tener habilitada la autenticación del lenguaje de marca SAML, estándar que permite compartir datos de autenticación y autorización, y también la opción ‘Validar certificado de proveedor de identidad’ debe estar deshabilitada.

La falla podría permitir que un usuario evite la autenticación y acceda a recursos protegidos, además, de permitir que ingrese como administrador y realice cambios con privilegios altos en el dispositivo afectado. Es importante resaltar que para aprovechar el fallo es necesario que el atacante tenga acceso a la red.

Cabe resaltar que Palo Alto asegura que hasta el momento no ha identificado ningún programa malicioso que aproveche esta falla, sin embargo, incita a los usuarios actualizar sus sistemas.

Nivel de riesgo

  • CVSS v3.1 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • PAN-OS 9.1
  • PAN-OS 9.0
  • PAN-OS 8.1
  • PAN-OS 8.0 (EOL)

Medidas de erradicación

A continuación se listan las actualizaciones de seguridad liberadas por Palo Alto para corregir la vulnerabilidad reportada en esta alerta:

  • PAN-OS 8.1.15
  • PAN-OS 9.0.9
  • PAN-OS 9.1.3

Palo Alto recalca la importancia de asegúrese que el certificado de firma del proveedor de identidad SAML esté configurado como “Certificado de proveedor de identidad” antes de actualizar a una versión, esto para garantizar que los usuarios puedan continuar autenticándose correctamente.

Referencias