2020年6月29日 (米国時間)、Palo Alto Networks から PAN-OS の脆弱性 (CVE-2020-2021) についての情報が公開されています。PAN-OS の SAML (Security Assertion Markup Language) 認証には、署名検証の不備に起因した脆弱性があります。SAML 認証を有効にした状態で、Validate Identity Provider Certificate のオプションを無効にした場合、認証を回避され、結果として遠隔の第三者が SAML 認証によって保護されたリソースにアクセスするおそれがあります。
本脆弱性の影響を受けるバージョンは次のとおりです。
- PAN-OS 9.1.x 系のうち、9.1.3 より前のバージョン
- PAN-OS 9.0.x 系のうち、9.0.9 より前のバージョン
- PAN-OS 8.1.x 系のうち、8.1.15 より前のバージョン
- PAN-OS 8.0.x 系のすべてのバージョン
影響を受けるバージョンを使用している場合は、以下のバージョンに更新することで本脆弱性の影響を回避することができます。 修正済みのバージョンを適用することをご検討ください。また、アップデート後に不正なセッションの排除を実施してください。 実施方法は製品ごとに異なるため、Palo Alto Networks からの情報を参照してください。
- PAN-OS 9.1.3 およびそれ以降のバージョン
- PAN-OS 9.0.9 およびそれ以降のバージョン
- PAN-OS 8.1.15 およびそれ以降のバージョン
なお、PAN-OS 8.0.x 系のバージョンは、すでにサポートが終了しており、修正済みのバージョンが提供されていないため注意が必要です。
脆弱性の詳細については、Palo Alto Networks からの情報を参照してください。
Palo Alto Networks Security Advisories
CVE-2020-2021 PAN-OS: Authentication Bypass in SAML Authentication
https://security.paloaltonetworks.com/CVE-2020-2021
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp