Palo Alto a publié un avis de sécurité indiquant qu’une vulnérabilité critique de niveau 10 affectait plusieurs versions de son système d’exploitation PAN-OS équipant certains pare-feu et appliances VPN. La faille, référencée CVE-2020-2021, permet à un pirate de contourner l’authentification SAML (Security Assertion Markup Language), de prendre le contrôle d’un appareil et d’accéder au réseau sans avoir besoin d’un mot de passe.
« Lorsque l’authentification SAML (Security Assertion Markup Language) est activée et que l’option » Valider le certificat du fournisseur d’identité » est désactivée (non cochée), une vérification incorrecte des signatures dans l’authentification SAML PAN-OS permet à un attaquant réseau non authentifié d’accéder aux ressources protégées », indique l’éditeur qui précise toutefois que « l’attaquant doit avoir un accès réseau au serveur vulnérable pour exploiter cette vulnérabilité ».
Le problème est toutefois jugé grave par les autorités américaines qui craignent que des pirates informatiques étrangers ne tirent profit de la faille. « Veuillez patcher immédiatement tous les appareils affectés par CVE-2020-2021, surtout si SAML est utilisé », a tweeté l’US Cyber Command, l’organe chargé de la sécurité de l’information pour le département américain de la Défense. « Les APT étrangers (groupes de menaces persistantes avancées) tenteront probablement de l’exploiter bientôt. » Selon Palo Alto, il n’y a actuellement aucune preuve que des pirates informatiques exploitent activement cette vulnérabilité.
Celle-ci affecte les versions PAN-OS 9.1 antérieures à PAN-OS 9.1.3; les versions PAN-OS 9.0 antérieures à PAN-OS 9.0.9; les versions PAN-OS 8.1 antérieures à PAN-OS 8.1.15 et toutes les versions de PAN-OS 8.0 (en fin de vie). Il n’affecte pas PAN-OS 7.1.
La faille CVE-2020-2021 a été découverte par des chercheurs de l’université Monash à Melbourne en Australie.