Cisco Systems和Palo Alto Networks在其网络安全设备中修复了类似的高风险身份验证绕过漏洞，无极4开户链接这些漏洞是由Kerberos协议实现中的一个疏忽引起的。中间人(Man-in-the-middle, MitM)攻击者可以利用这些弱点对设备进行管理控制。

 

来自安全公司Silverfort的研究人员发现了这两个漏洞，它们很相似，可能存在于其他Kerberos实现中。思科本月早些时候修补了漏洞，帕洛阿尔托网络公司本周也修补了漏洞。

 

Kerberos漏洞

 

PAN-OS是一种运行在帕洛阿尔托网络公司(Palo Alto Networks)网络安全设备和设备上的操作系统。该缺陷存在于PAN-OS 7.1版本早于7.1.26、PAN-OS 8.1版本早于8.1.13、PAN-OS 9.0版本早于9.0.6以及PAN-OS 8.0的所有版本中。PAN-OS 8.0已经到达支持结束，没有收到更新。

 

该公司在其报告中说:“帕洛阿尔托网络PAN-OS的身份验证守护程序和用户id组件中存在一个欺骗漏洞，通过在对用户进行身份验证之前未能验证Kerberos密钥分发中心(KDC)的完整性来绕过身份验证。”这将影响使用Kerberos身份验证配置文件的所有形式的身份验证。中间人类型的攻击者能够拦截PAN-OS和KDC之间的通信，可以作为管理员登录到PAN-OS。”

 

在Cisco Adaptive Security Appliance (ASA)软件中也存在一个类似的漏洞，追踪结果为CVE-2020-3125，并于5月6日打了补丁。运行Cisco ASA软件的设备如果配置了用于VPN或本地设备访问的Kerberos身份验证，就会受到影响。

 

Cisco的建议包括管理员检查是否配置了Kerberos身份验证的手册说明，以及一个具有固定Cisco ASA版本的表。但是，该公司警告说，解决这个问题需要在软件更新之后进行一些配置更改。

 

“Cisco ASA设备很容易被攻击，除非配置了CLI命令validate-kdc和aaa kerberos import-keytab，”Cisco说。“这些新的配置命令确保ASA在每个用户身份验证事务期间验证KDC，从而防止本安全建议中描述的漏洞。”

 

模拟Kerberos密钥分发中心

 

Kerberos是企业活动目录环境中流行的身份验证协议。但是，无极4开户体验为了提供最大程度的安全性，该协议有三个身份验证步骤:用户对服务器进行身份验证，服务器对客户机进行身份验证，Kerberos密钥分发中心(KDC)对服务器进行身份验证。

 

“显然，对服务器的KDC认证经常被忽视，”Silverfort的研究人员在一篇博客文章中说。也许是因为要求它会使配置需求复杂化。然而，如果KDC不向服务器进行身份验证，协议的安全性就会完全受损，从而允许劫持网络流量的攻击者使用任何密码(甚至是错误的密码)向PAN-OS进行身份验证。”

 

Kerberos KDC欺骗实际上并不是一种新的攻击，早在10年前，一位名为dig Song的安全研究人员就首次报告了这种攻击。这表明Cisco ASA和Palo Alto PAN-OS实现在很长一段时间内都很脆弱。Silverfort的研究人员在试图实现兼容第三方安全设备的多因素身份验证解决方案时发现了这一疏忽。

 

对于实现Kerberos的开发人员，该公司有以下建议:

 

验证Kerberos的实现是否需要密码或keytab:要验证DC，需要使用某种共享秘密。如果您的解决方案不支持配置keytab文件或服务帐户密码，应用程序肯定会受到KDC欺骗的影响。

 

运行Wireshark:使用Wireshark查看在身份验证期间发送了哪些Kerberos请求。如果没有TGS_REQ，那就是一个危险信号。

 

遵循协议rfc:如果您想自己实现身份验证协议，就必须严格遵守协议rfc。Silverfort建议采用更简单的方法，并使用这些协议的现有实现。

 

正确使用第三方库:一些第三方库需要特定的配置，以避免KDC欺骗。例如，一个用于Kerberos的公共库pam-krb5必须配置一个keytab才能正常工作。