Palo Alto Networks · Globalprotect Gateway · CVE-2020-2021
**Nome do software vulnerável e versões afetadas**
Versões do Palo Alto Networks PAN-OS anteriores à 9.1.3
Versões do Palo Alto Networks PAN-OS anteriores à 9.0.9
Versões do Palo Alto Networks PAN-OS anteriores à 8.1.15
Palo Alto Networks PAN-OS 8.0 (Fim de vida útil)
**Descrição**
Quando a autenticação SAML (Security Assertion Markup Language) está habilitada e a opção “Validate Identity Provider Certificate” está desabilitada, a verificação inadequada de assinaturas na autenticação SAML do PAN-OS permite que um invasor não autenticado, baseado na rede, acesse recursos protegidos. O invasor deve ter acesso à rede do servidor vulnerável para explorar essa vulnerabilidade. Os recursos que podem ser protegidos pela autenticação de logon único (SSO) baseada em SAML incluem o GlobalProtect Gateway, o GlobalProtect Portal, o GlobalProtect Clientless VPN, o Authentication and Captive Portal, os firewalls de última geração PAN-OS, as interfaces web do Panorama e o Prisma Access. No caso do GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal e Prisma Access, um invasor não autenticado com acesso à rede dos servidores afetados pode obter acesso a recursos protegidos se isso for permitido pelas políticas de autenticação e segurança configuradas. Pesquisadores descobriram quase 70.000 dispositivos baseados no PAN-OS na rede, com 40% deles protegendo redes nos EUA.
**Recomendações**
Como solução alternativa temporária, considere habilitar a opção “Validate Identity Provider Certificate” no perfil do servidor do provedor de identidade SAML para todos