PAN-OS

Die Schwachstelle steckt in der SAML-Authentifizierung der Firewall-Software PAN-OS von Palo Alto Networks. Sie tritt auf, wenn die Anmeldung über SAML aktiviert ist und zugleich die Option zur Prüfung des Identitätsanbieter-Zertifikats deaktiviert wurde: Die Software überprüft die Signaturen der SAML-Anmeldedaten dann unzureichend. Dadurch kann ein Angreifer aus dem Netzwerk und ohne gültige Zugangsdaten die Authentifizierung umgehen und auf geschützte Ressourcen zugreifen. Erforderlich ist lediglich ein Netzwerkzugang zum verwundbaren Server. Betroffen sind die über SAML-Single-Sign-on abgesicherten Dienste – etwa GlobalProtect-Gateway und -Portal, der Clientless VPN, das Captive Portal sowie die Web-Verwaltungsoberflächen der Firewalls und der Verwaltungsplattform. Bei den Verwaltungsoberflächen kann sich der Angreifer als Administrator anmelden und administrative Aktionen ausführen. Sitzungen regulärer Nutzer kann er weder einsehen noch manipulieren.