Palo Alto nâng cảnh báo khẩn với lỗ hổng GlobalProtect VPN

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.943 bài viết
Palo Alto nâng cảnh báo khẩn với lỗ hổng GlobalProtect VPN
WhiteHat Team
Palo Alto Networks vừa cảnh báo lỗ hổng CVE-2026-0257 trên nền tảng GlobalProtect VPN đã bị tin tặc khai thác ngoài thực tế để tìm cách xâm nhập vào mạng nội bộ của các tổ chức. Lỗ hổng ảnh hưởng đến PAN-OS và có thể cho phép thiết lập kết nối VPN trái phép trong một số cấu hình triển khai nhất định.
palo alto.png

Theo Palo Alto Networks, CVE-2026-0257 ảnh hưởng đến các thiết bị PAN-OS được cấu hình sử dụng tính năng ghi nhớ trạng thái xác thực người dùng. Do chỉ có thể bị khai thác trong một số điều kiện triển khai nhất định, lỗ hổng ban đầu được xếp hạng mức độ trung bình. Tuy nhiên, sau khi xuất hiện các hoạt động khai thác nhắm vào những hệ thống chưa cập nhật bản vá, hãng đã nâng mức độ nghiêm trọng của lỗ hổng lên cao.

Theo Rapid7, các cuộc tấn công khai thác CVE-2026-0257 đã xuất hiện từ ngày 17/5/2026 và được ghi nhận tại nhiều tổ chức chưa vá lỗi. Kẻ tấn công sử dụng các cookie xác thực giả mạo để vượt qua cơ chế đăng nhập của GlobalProtect, từ đó tìm cách thiết lập kết nối VPN trái phép. Trong một số trường hợp, kẻ tấn công đã thiết lập thành công kết nối VPN trái phép, từ đó tiếp cận mạng nội bộ của tổ chức bị nhắm mục tiêu.

Lỗ hổng xuất phát từ cách PAN-OS xử lý các cookie dùng để ghi nhớ trạng thái xác thực người dùng. Hệ thống sẽ giải mã các cookie này bằng khóa riêng được cấu hình sẵn và tự động tin tưởng nội dung bên trong mà không kiểm tra tính hợp lệ của chữ ký số. Trong trường hợp cùng một chứng chỉ số được sử dụng cho cả dịch vụ web và tính năng ghi nhớ xác thực, kẻ tấn công có thể thu thập khóa công khai từ kết nối web để tạo ra các cookie giả mạo và vượt qua quá trình xác thực.

Để đánh giá mức độ ảnh hưởng của lỗ hổng, Rapid7 đã xây dựng mã khai thác thử nghiệm (PoC). Kết quả cho thấy kẻ tấn công có thể thu thập chứng chỉ công khai được công khai trên cổng GlobalProtect, sau đó tạo ra các cookie xác thực giả mạo cho bất kỳ tài khoản nào. Điều này cho phép chúng vượt qua cơ chế đăng nhập và truy cập hệ thống mà không cần biết thông tin xác thực hợp lệ. Các thử nghiệm của Rapid7 xác nhận phương pháp này hoạt động thành công trên những thiết bị chưa được cập nhật bản vá.

Palo Alto Networks khuyến cáo các tổ chức ưu tiên triển khai bản vá trong thời gian sớm nhất. Trường hợp chưa thể cập nhật, quản trị viên nên vô hiệu hóa tính năng ghi nhớ xác thực hoặc sử dụng chứng chỉ số riêng cho cơ chế này thay vì dùng chung với dịch vụ web của thiết bị nhằm giảm nguy cơ bị giả mạo thông tin xác thực.

Lỗ hổng hiện đã được bổ sung vào Danh mục các lỗ hổng đã bị khai thác trong thực tế (KEV) của Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA). Việc xuất hiện trong danh sách này cho thấy CVE-2026-0257 cần được ưu tiên xử lý ở mức cao nhất. CISA hiện yêu cầu các cơ quan liên bang Mỹ hoàn tất việc khắc phục trước ngày 1/6/2026 nhằm giảm thiểu nguy cơ bị xâm nhập thông qua các hệ thống GlobalProtect VPN chưa được vá.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Palo Alto cảnh báo hai lỗ hổng cho phép chạy lệnh Root trên PAN-OS
  • Lỗ hổng nghiêm trọng trong Palo Alto GlobalProtect cho phép thực thi mã từ xa
  • Tường lửa Palo Alto "thủng lỗ chỗ": CVE-2025-0108 trên PAN-OS bị khai thác
  • Palo Alto Networks cảnh báo lỗ hổng PAN-OS bị khai thác
  • Cảnh báo lỗ hổng thực thi mã từ xa trong Palo Alto GlobalProtect VPN
  • Palo Alto Networks vá lỗ hổng tiêm nhiễm lệnh trong Pan OS
    • Thẻ
    cve-2026-0257 globalprotect vpn palo alto palo alto networks
    Bên trên