-
09/04/2020
-
132
-
1.866 bài viết
Cảnh báo lỗ hổng nghiêm trọng trên PAN-OS đang bị khai thác ngoài thực tế
Palo Alto Networks vừa phát đi cảnh báo khẩn về một lỗ hổng nghiêm trọng trong hệ điều hành tường lửa PAN-OS, cho phép tin tặc thực thi mã từ xa mà không cần xác thực. Đáng chú ý, lỗ hổng này đã xuất hiện các dấu hiệu bị khai thác ngoài thực tế, làm gia tăng nguy cơ xâm nhập và chiếm quyền kiểm soát các hệ thống doanh nghiệp đang sử dụng thiết bị tường lửa của hãng.
Lỗ hổng được định danh là CVE-2026-0300, có điểm CVSS lên tới 9,3/10 trong trường hợp dịch vụ User-ID Authentication Portal được mở công khai ra Internet. Đây là một trong những mức đánh giá nguy hiểm cao nhất đối với các lỗ hổng bảo mật hiện nay, bởi nó cho phép kẻ tấn công từ xa thực thi mã độc với quyền root.
Lỗ hổng nằm ở đâu và nguy hiểm như thế nào?
Theo thông tin từ Palo Alto Networks, lỗ hổng tồn tại trong thành phần User-ID Authentication Portal, còn được gọi là Captive Portal, của PAN-OS. Đây là cơ chế thường được doanh nghiệp sử dụng để xác thực người dùng truy cập mạng nội bộ hoặc truy cập tài nguyên được kiểm soát qua firewall.
Nguyên nhân của sự cố xuất phát từ lỗi tràn bộ đệm (buffer overflow). Trong các hệ thống phần mềm, buffer overflow là dạng lỗi xảy ra khi dữ liệu được gửi vào vượt quá dung lượng bộ nhớ mà chương trình dự kiến xử lý. Nếu bị khai thác đúng cách, lỗi này có thể cho phép ghi đè dữ liệu trong bộ nhớ và dẫn tới việc thực thi mã tùy ý.
Trong trường hợp của CVE-2026-0300, tin tặc chỉ cần gửi các gói tin được tạo đặc biệt tới cổng dịch vụ Captive Portal là có thể kích hoạt lỗi mà không cần đăng nhập hay xác thực trước đó. Nếu khai thác thành công, đối tượng tấn công có thể thực thi mã với đặc quyền root trên các thiết bị firewall dòng PA-Series và VM-Series.
Điều đáng lo ngại là firewall vốn được xem là “lá chắn” bảo vệ mạng doanh nghiệp. Khi thiết bị này bị chiếm quyền, toàn bộ hệ thống phía sau có nguy cơ bị theo dõi, đánh cắp dữ liệu hoặc bị sử dụng làm bàn đạp cho các cuộc tấn công sâu hơn.
Nguyên nhân của sự cố xuất phát từ lỗi tràn bộ đệm (buffer overflow). Trong các hệ thống phần mềm, buffer overflow là dạng lỗi xảy ra khi dữ liệu được gửi vào vượt quá dung lượng bộ nhớ mà chương trình dự kiến xử lý. Nếu bị khai thác đúng cách, lỗi này có thể cho phép ghi đè dữ liệu trong bộ nhớ và dẫn tới việc thực thi mã tùy ý.
Trong trường hợp của CVE-2026-0300, tin tặc chỉ cần gửi các gói tin được tạo đặc biệt tới cổng dịch vụ Captive Portal là có thể kích hoạt lỗi mà không cần đăng nhập hay xác thực trước đó. Nếu khai thác thành công, đối tượng tấn công có thể thực thi mã với đặc quyền root trên các thiết bị firewall dòng PA-Series và VM-Series.
Điều đáng lo ngại là firewall vốn được xem là “lá chắn” bảo vệ mạng doanh nghiệp. Khi thiết bị này bị chiếm quyền, toàn bộ hệ thống phía sau có nguy cơ bị theo dõi, đánh cắp dữ liệu hoặc bị sử dụng làm bàn đạp cho các cuộc tấn công sâu hơn.
Các phiên bản bị ảnh hưởng
Theo công bố của hãng, lỗ hổng ảnh hưởng tới nhiều phiên bản PAN-OS đang được triển khai rộng rãi trong doanh nghiệp, bao gồm:
- PAN-OS 12.1 trước 12.1.4-h5 và 12.1.7
- PAN-OS 11.2 trước 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 và 11.2.12
- PAN-OS 11.1 trước 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 và 11.1.15
- PAN-OS 10.2 trước 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 và 10.2.18-h6
Tuy nhiên, Palo Alto Networks nhấn mạnh rằng chỉ các thiết bị có bật User-ID Authentication Portal mới chịu ảnh hưởng trực tiếp.
Tin tặc đang khai thác như thế nào?
Theo hãng, hoạt động khai thác hiện mới ở mức “limited exploitation” — tức đã ghi nhận các cuộc tấn công thực tế nhưng chưa bùng phát diện rộng. Dù vậy, việc lỗ hổng đã bị khai thác trước cả khi bản vá được phát hành là tín hiệu đáng báo động.
Kịch bản tấn công có thể diễn ra tương đối đơn giản. Tin tặc quét Internet để tìm các firewall Palo Alto đang mở Captive Portal công khai. Sau đó, chúng gửi các gói tin độc hại nhằm kích hoạt lỗi tràn bộ đệm và thực thi mã từ xa.
Nếu thành công, kẻ tấn công có thể:
Kịch bản tấn công có thể diễn ra tương đối đơn giản. Tin tặc quét Internet để tìm các firewall Palo Alto đang mở Captive Portal công khai. Sau đó, chúng gửi các gói tin độc hại nhằm kích hoạt lỗi tràn bộ đệm và thực thi mã từ xa.
Nếu thành công, kẻ tấn công có thể:
- Chiếm quyền điều khiển firewall với quyền root
- Theo dõi hoặc chặn lưu lượng mạng nội bộ
- Đánh cắp dữ liệu nhạy cảm
- Cài mã độc hoặc backdoor duy trì truy cập
- Sử dụng firewall làm điểm trung chuyển để tấn công sâu hơn vào hệ thống doanh nghiệp
Với các doanh nghiệp sử dụng firewall để bảo vệ trung tâm dữ liệu, VPN hoặc hệ thống làm việc từ xa, mức độ rủi ro càng nghiêm trọng hơn.
Vì sao lỗ hổng này đặc biệt nguy hiểm?
Không giống nhiều lỗ hổng yêu cầu tài khoản hợp lệ hoặc thao tác người dùng, CVE-2026-0300 có thể bị khai thác hoàn toàn từ xa mà không cần xác thực.
Ngoài ra, firewall thường nằm ở lớp bảo vệ biên mạng. Khi firewall bị xâm nhập, hacker có thể “đứng ở cửa chính” của doanh nghiệp thay vì phải vượt qua nhiều lớp bảo mật bên trong.
Điểm CVSS 9,3 phản ánh mức độ nghiêm trọng gần như tối đa của lỗ hổng. Trong bối cảnh các nhóm ransomware và APT thường ưu tiên nhắm vào thiết bị mạng biên như firewall, VPN gateway hoặc thiết bị quản trị từ xa, nguy cơ bị khai thác hàng loạt là hoàn toàn có thể xảy ra.
Hiện tại, Palo Alto Networks cho biết lỗ hổng vẫn chưa được vá hoàn toàn tại thời điểm công bố cảnh báo. Hãng dự kiến phát hành các bản cập nhật bảo mật bắt đầu từ ngày 13/5/2026.
Trong thời gian chờ bản vá chính thức, hãng khuyến nghị doanh nghiệp cần triển khai ngay các biện pháp giảm thiểu rủi ro.
Ngoài ra, firewall thường nằm ở lớp bảo vệ biên mạng. Khi firewall bị xâm nhập, hacker có thể “đứng ở cửa chính” của doanh nghiệp thay vì phải vượt qua nhiều lớp bảo mật bên trong.
Điểm CVSS 9,3 phản ánh mức độ nghiêm trọng gần như tối đa của lỗ hổng. Trong bối cảnh các nhóm ransomware và APT thường ưu tiên nhắm vào thiết bị mạng biên như firewall, VPN gateway hoặc thiết bị quản trị từ xa, nguy cơ bị khai thác hàng loạt là hoàn toàn có thể xảy ra.
Hiện tại, Palo Alto Networks cho biết lỗ hổng vẫn chưa được vá hoàn toàn tại thời điểm công bố cảnh báo. Hãng dự kiến phát hành các bản cập nhật bảo mật bắt đầu từ ngày 13/5/2026.
Trong thời gian chờ bản vá chính thức, hãng khuyến nghị doanh nghiệp cần triển khai ngay các biện pháp giảm thiểu rủi ro.
Các chuyên gia an ninh mạng khuyến nghị gì?
Các chuyên gia bảo mật khuyến nghị quản trị viên hệ thống cần rà soát ngay cấu hình firewall Palo Alto đang sử dụng, đặc biệt kiểm tra xem User-ID Authentication Portal có đang mở ra Internet hay không.
Một số biện pháp cần ưu tiên thực hiện gồm:
Một số biện pháp cần ưu tiên thực hiện gồm:
- Chỉ cho phép Captive Portal truy cập từ mạng nội bộ tin cậy
- Tắt hoàn toàn User-ID Authentication Portal nếu không cần thiết
- Theo dõi log để phát hiện các truy cập bất thường hoặc dấu hiệu quét cổng
- Chuẩn bị cập nhật bản vá ngay khi Palo Alto Networks phát hành
- Hạn chế expose trực tiếp các giao diện quản trị ra Internet
- Tăng cường giám sát lưu lượng tới firewall và các thiết bị biên mạng
Ngoài ra, doanh nghiệp cũng nên đánh giá lại toàn bộ chính sách bảo mật đối với các thiết bị mạng trọng yếu, bởi firewall hiện là mục tiêu tấn công phổ biến của nhiều nhóm ransomware và gián điệp mạng.
Sự xuất hiện của CVE-2026-0300 tiếp tục cho thấy các thiết bị bảo mật mạng đang trở thành mục tiêu ưu tiên của tin tặc. Trong nhiều trường hợp, chỉ một lỗi nhỏ trong thành phần xác thực cũng có thể mở đường cho việc chiếm toàn bộ hệ thống doanh nghiệp.
Việc lỗ hổng đã bị khai thác ngoài thực tế trước khi có bản vá chính thức càng làm tăng áp lực đối với các tổ chức đang sử dụng PAN-OS. Với các doanh nghiệp phụ thuộc vào firewall Palo Alto để vận hành hạ tầng mạng, việc rà soát cấu hình, hạn chế truy cập công khai và cập nhật bản vá ngay khi có thể sẽ là yếu tố quyết định để giảm thiểu nguy cơ bị tấn công.
Sự xuất hiện của CVE-2026-0300 tiếp tục cho thấy các thiết bị bảo mật mạng đang trở thành mục tiêu ưu tiên của tin tặc. Trong nhiều trường hợp, chỉ một lỗi nhỏ trong thành phần xác thực cũng có thể mở đường cho việc chiếm toàn bộ hệ thống doanh nghiệp.
Việc lỗ hổng đã bị khai thác ngoài thực tế trước khi có bản vá chính thức càng làm tăng áp lực đối với các tổ chức đang sử dụng PAN-OS. Với các doanh nghiệp phụ thuộc vào firewall Palo Alto để vận hành hạ tầng mạng, việc rà soát cấu hình, hạn chế truy cập công khai và cập nhật bản vá ngay khi có thể sẽ là yếu tố quyết định để giảm thiểu nguy cơ bị tấn công.