Palo Alto Networks cho biết lỗ hổng PAN-OS GlobalProtect đang bị khai thác tích cực
Các cuộc tấn công đang diễn ra nhắm vào VPN doanh nghiệp
Palo Alto Networks cảnh báo rằng các kẻ tấn công đang tích cực khai thác một lỗ hổng vượt qua xác thực trên PAN-OS GlobalProtect, cho phép họ thiết lập kết nối VPN trái phép trên thiết bị công ty.
Lỗ hổng, được theo dõi với mã CVE-2026-0257, đã được vá vào đầu tháng này. Palo Alto ban đầu xếp hạng mức độ nghiêm trọng ở mức Trung bình, cho biết việc khai thác đòi hỏi các thiết bị được cấu hình bật cookie ghi đè xác thực và một thiết lập chứng chỉ cụ thể. Vào thứ Sáu, công ty đã sửa lại khuyến cáo, nói rằng họ đã biết về những cố gắng khai thác hạn chế nhắm vào các thiết bị PAN-OS chưa được vá và không có biện pháp giảm thiểu, và nâng mức độ lên Cao.
"Cổng và gateway GlobalProtect của phần mềm PAN-OS của Palo Alto Networks cho phép kẻ tấn công vượt qua các hạn chế bảo mật và thiết lập kết nối VPN trái phép," công ty cho biết trong khuyến cáo.
Bản cập nhật này theo sau một cảnh báo riêng từ Rapid7, công ty này cho biết đã quan sát thấy các vụ khai thác thành công trên nhiều khách hàng bắt đầu từ ngày 17 tháng 5. Rapid7 nói rằng họ không thấy bằng chứng về di chuyển ngang thành công từ các thiết bị bị ảnh hưởng, nhưng lưu ý rằng lỗ hổng đã được thêm vào danh mục CISA Known Exploited Vulnerabilities kể từ ngày 29 tháng 5 năm 2026.
Theo Rapid7, các cuộc tấn công sử dụng cookie ghi đè xác thực giả mạo để xác thực với các gateway GlobalProtect và nhắm đến tài khoản quản trị viên cục bộ. Công ty cho biết họ lần đầu thấy khai thác vào ngày 18 tháng 5 từ hạ tầng được lưu trữ bởi Vultr, tiếp theo là làn sóng thứ hai vào ngày 21 tháng 5 xuất phát từ Dromatics Systems.
Trong một số trường hợp, kẻ tấn công có thể kết nối với thiết bị qua VPN bằng cookie giả mạo và truy cập vào mạng nội bộ. Trong những sự cố khác, thiết bị chấp nhận cookie giả mạo nhưng không thể thiết lập hoàn chỉnh một phiên VPN.
Rapid7 cho biết các thiết bị bị ảnh hưởng đã bật cookie ghi đè xác thực GlobalProtect và được cấu hình theo cách cho phép kẻ tấn công tạo cookie hợp lệ. Vấn đề bắt nguồn từ quy trình xác thực của PAN-OS: thiết bị VPN giải mã cookie bằng khóa riêng được cấu hình và tin tưởng nội dung sau khi giải mã mà không thực hiện xác minh chữ ký. Nếu cùng một chứng chỉ được dùng cho cả dịch vụ HTTPS và cookie ghi đè xác thực, kẻ tấn công có thể lấy khóa công khai qua phiên HTTPS và dùng nó để tạo một cookie mà thiết bị chấp nhận là hợp lệ.
Nguồn:
Doppler VPN: 6 vị trí máy chủ, giao thức VLESS, không theo dõi. Bắt đầu miễn phí.