Il sistema operativo PAN-OS installato nei firewall di Palo Alto Networks è affetto da una vulnerabilità critica e facilmente sfruttabile identificata dalla sigla CVE-2020-2021. L'azienda ha pubblicato una patch, che gli esperti di sicurezza esortano a installare con la massima urgenza.

Secondo il Department of Homeland Security e U.S. Cyber Command, cyber criminali sponsorizzati da stati-nazione potrebbero sfruttare molto presto questa falla per rubare informazioni sensibili. Oltre ai firewall, PAN-OS interessa anche le appliance VPN aziendali. 
Il National Vulnerability Database ha classificato questa vulnerabilità con un punteggio 10.0. È così critico perché per sfruttarlo bastano poche competenze tecniche. E perché consente un bypass di autenticazione che permette ai cyber criminali di accedere ai dispositivi in assenza di credenziali. 

Una volta ottenuto l'accesso sarebbe semplice accedere e controllare i dispositivi vulnerabili, modificare le impostazioni, modificare o disattivare i criteri di controllo degli accessi, e così via.

Le versioni PAN-OS interessate includono tutte le release antecedenti alla PAN-OS 9.1.3, fatta eccezione per la versione 7.1, che non è interessata. In generale, i dispositivi affetti sono tutti quelli Palo Alto Networks che si basano su una tecnica di verifica denominata autenticazione SAML. 

La vulnerabilità si può sfruttare solo se il dispositivo è configurato per utilizzare l'autenticazione SAML con una gestione degli accessi Single Sign-On (SSO) e se è disabilitata l'opzione "Convalida certificato provider di identità" nel profilo SAML.
La prima cosa da fare per tutelarsi da possibili attacchi è installare la patch pubblicata da Palo Alto. In particolare, è consigliato l'aggiornamento del sistema operativo alle versioni PAN-OS 9.1.3, 9.0.9 o 8.1.15. La procedura da seguire è dettagliata nelle istruzioni ufficiali.

Qualora non fosse possibile procedere con l'immediato aggiornamento, si consiglia di mitigare i rischi disabilitando l'autenticazione SAML.