Palo Alto Networks cảnh báo lỗ hổng trên GlobalProtect VPN đang bị khai thác thực tế

Palo Alto Networks vừa đưa ra cảnh báo khẩn cấp về việc lỗ hổng bảo mật trên hệ điều hành PAN-OS đang bị các đối tượng tấn công khai thác tích cực. Lỗ hổng này cho phép kẻ gian vượt qua các lớp kiểm soát bảo mật để truy cập trái phép vào các cổng GlobalProtect.

Chi tiết về lỗ hổng CVE-2026-0257

Lỗ hổng được định danh là CVE-2026-0257 với điểm CVSS là 7.8. Đây là lỗi authentication bypass (vượt qua xác thực) ảnh hưởng trực tiếp đến các thành phần portal và gateway của phần mềm PAN-OS. Khi bị khai thác, kẻ tấn công có thể khởi tạo các kết nối VPN mà không cần thông tin xác thực hợp lệ.

Theo ghi nhận từ hãng bảo mật, các hoạt động khai thác thực tế (in-the-wild) đã bắt đầu xuất hiện từ ngày 17/05/2026. Mặc dù quy mô tấn công hiện tại còn hạn chế và chưa phát hiện dấu hiệu di chuyển ngang (lateral movement) hay hành vi hậu xâm nhập, Palo Alto Networks vẫn khuyến cáo người dùng cần đặc biệt cảnh giác.

Khuyến nghị cho quản trị viên

Palo Alto Networks đã công bố danh sách các Indicators of Compromise (IoCs) bao gồm nhiều địa chỉ IP đáng ngờ (như 23.128.228[.]6, 104.207.144[.]154,…) và các tên máy chủ/địa chỉ MAC giả mạo. Quản trị viên hệ thống được khuyến nghị kiểm tra nhật ký (logs) của GlobalProtect để tìm kiếm các phiên kết nối gateway khớp với cấu hình client từ mã khai thác PoC, đặc biệt là các kết nối có thông tin hệ điều hành là “Microsoft Windows 10 Pro 64-bit” và trường thông tin người dùng bị bỏ trống.

Trước đó, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cũng đã đưa CVE-2026-0257 vào danh mục Known Exploited Vulnerabilities (KEV), yêu cầu các cơ quan chính phủ liên bang phải thực hiện các biện pháp khắc phục trước ngày 01/06/2026.

Người dùng các thiết bị sử dụng PAN-OS được khuyến cáo cập nhật các bản vá mới nhất từ nhà sản xuất để ngăn chặn nguy cơ bị khai thác lỗ hổng này.

Nguồn tham khảo: The Hacker News