Palo Alto Networks, tüm yeni nesil güvenlik duvarlarının işletim sisteminde (PAN-OS) bulunan ve kimliği doğrulanmamış ağ tabanlı saldırganların kimlik doğrulamasını geçmesine izin verebilecek kritik bir güvenlik açığını açıkladı. PAN ‑ OS tüm yeni nesil güvenlik duvarlarına güç sağlayan yazılımdır.
Şirketin yaptığı açıklamada “Güvenlik Onayı Biçimlendirme Dili (SAML) kimlik doğrulaması etkinleştirildiğinde ve ‘Kimlik Sağlayıcı Sertifikasını Doğrula’ seçeneği devre dışı bırakıldığında, PAN-OS SAML kimlik doğrulamasında imzaların yanlış doğrulanması, kimliği doğrulanmamış bir ağ tabanlı saldırganın korunan kaynaklara erişmesini sağlar.” şeklinde belirtilmiştir.
CVE-2020-2021 olarak izlenen güvenlik açığı, CVSS 3.x puanı 10 olan kritik önem derecesi olarak derecelendirilmiştir ve düşük karmaşıklık saldırılarının bir parçası olarak savunmasız sunuculara ağ erişimi olan saldırganlar tarafından kullanılabilmektedir.
Palo Alto Networks, güvenlik danışma belgesi yayınlanana kadar CVE-2020-2021 güvenlik açığından yararlanma amaçlı hiçbir kötü amaçlı girişim tespit edilmediğini belirtti.Sorun, Siber Risk ve Dayanıklılık Ekibi’nden Salman Khan ve Monash Üniversitesi Kimlik Hizmetleri Ekibi’nden Cameron Duck tarafından bildirildi.
Palo Alto Networks, PAN-OS 8.x ve 9.0.x ve 9.1.x için yamalar yayınladı. PAN-OS 7.1 versiyonun bu güvenlik açığından etkilenmediği de bildirildi.
