Cảnh báo: Lỗ hổng xác thực trên Palo Alto Networks GlobalProtect (CVE-2026-0257) đang bị khai thác

Palo Alto Networks vừa đưa ra cảnh báo khẩn cấp về một lỗ hổng bảo mật có mức độ nghiêm trọng trung bình trong phần mềm PAN-OS và Prisma Access. Lỗ hổng này, được định danh là CVE-2026-0257 (điểm CVSS 7.8), cho phép kẻ tấn công vượt qua cơ chế xác thực để thiết lập kết nối VPN trái phép vào hệ thống.

Theo thông tin từ nhà sản xuất, vấn đề này ảnh hưởng trực tiếp đến các thiết bị tường lửa có cấu hình GlobalProtect portal hoặc gateway, đặc biệt khi tính năng authentication override cookies được kích hoạt kèm theo một cấu hình chứng chỉ cụ thể.

Đáng chú ý, Palo Alto Networks đã xác nhận tình trạng lỗ hổng này đang bị khai thác thực tế trên các thiết bị chưa được cập nhật bản vá hoặc chưa áp dụng biện pháp giảm thiểu rủi ro. Công ty bảo mật Rapid7 cũng ghi nhận các đợt tấn công thành công nhắm vào khách hàng của họ, bắt đầu từ giữa tháng 5/2026. Trong các đợt tấn công này, kẻ xấu đã thực hiện gán IP VPN sau khi vượt qua xác thực cookie, từ đó giành quyền truy cập vào mạng nội bộ của doanh nghiệp.

Khuyến nghị cho quản trị viên:

• Cập nhật ngay lập tức: Ưu tiên hàng đầu là áp dụng bản vá chính thức từ nhà cung cấp càng sớm càng tốt.
• Biện pháp giảm thiểu tạm thời: Nếu chưa thể cập nhật ngay, quản trị viên nên vô hiệu hóa tính năng authentication override hoặc tạo mới một chứng chỉ chuyên biệt chỉ dành riêng cho tính năng này để ngăn chặn nguy cơ bị lợi dụng.

Việc khai thác lỗ hổng này một lần nữa nhấn mạnh tầm quan trọng của việc bảo mật các thiết bị VPN tại biên mạng, vốn là mục tiêu hàng đầu của các nhóm tin tặc hiện nay.

Nguồn tham khảo: The Hacker News