Lỗ hổng CVE-2026-0300 trên Palo Alto Networks PAN-OS là một zero-day vulnerability đã bị khai thác tích cực từ ít nhất tháng 4/2026. Theo cảnh báo bảo mật công bố ngày 6/5/2026, đây là lỗ hổng CVE dạng buffer overflow trong User-ID Authentication Portal (còn gọi là Captive Portal service), cho phép kẻ tấn công từ xa chưa xác thực thực thi mã tùy ý với quyền root trên PA-Series và VM-Series firewall.
CVE này ảnh hưởng trực tiếp đến các triển khai PAN-OS có Authentication Portal phơi bày ra mạng không tin cậy hoặc Internet. Palo Alto Networks ghi nhận mức độ rủi ro tăng mạnh khi cổng xác thực này có thể truy cập công khai, vì vậy cảnh báo CVE tập trung vào việc giới hạn phạm vi truy cập và giảm bề mặt tấn công.
Tham chiếu kỹ thuật có thể xem tại NVD và thông báo an ninh của Palo Alto Networks.
Lỗ hổng CVE-2026-0300 trong PAN-OS
CVE-2026-0300 là lỗi tràn bộ đệm nằm trong thành phần Captive Portal của PAN-OS. Khi khai thác thành công, kẻ tấn công có thể gửi các gói mạng được tạo đặc biệt để đạt remote code execution và giành quyền chiếm quyền root trên thiết bị bị ảnh hưởng.
Hệ quả của lỗ hổng CVE này không chỉ dừng ở RCE. Mô tả sự cố cho thấy mã độc hoặc shellcode có thể được chèn trực tiếp vào tiến trình nginx worker, từ đó tạo điều kiện cho truy cập sâu và kéo dài trên hệ thống nền.
Phạm vi ảnh hưởng
- PA-Series firewalls.
- VM-Series firewalls.
- Không ảnh hưởng: Prisma Access, Cloud NGFW và Panorama appliances.
Đây là một zero-day vulnerability vì bị khai thác trước khi nhiều hệ thống có thời gian áp dụng bản vá bảo mật hoặc biện pháp giảm thiểu tương ứng. Trong bối cảnh này, lỗ hổng CVE yêu cầu ưu tiên xử lý ngay trên các thiết bị có Authentication Portal mở ra ngoài.
Chuỗi khai thác và dấu hiệu xâm nhập mạng
Hoạt động khai thác được theo dõi từ ngày 9/4/2026, khi các lần thử khai thác đầu tiên thất bại trên một thiết bị PAN-OS. Khoảng một tuần sau, kẻ tấn công đạt được remote code execution và đưa shellcode vào tiến trình đích.
Sau khi xâm nhập thành công, nhóm này tiến hành xóa log quyết liệt để làm giảm khả năng điều tra pháp chứng. Các thao tác bao gồm xóa thông điệp kernel crash, bản ghi crash của nginx và các tệp core dump. Đây là dấu hiệu quan trọng trong phát hiện xâm nhập đối với một cuộc tấn công mạng nhằm che giấu dấu vết trên hệ thống bị tấn công.
Dấu hiệu kỹ thuật quan sát được
- Xóa crash kernel messages.
- Xóa nginx crash entries và bản ghi liên quan.
- Xóa core dump files.
- Dùng quyền root để triển khai công cụ bổ sung.
- Xóa dấu vết của ptrace injection và các nhị phân SUID khỏi audit logs.
Những hành vi này cho thấy mối đe dọa mạng không chỉ khai thác lỗ hổng CVE để vào được thiết bị, mà còn chủ động phá hủy dữ liệu nhật ký nhằm hạn chế phát hiện tấn công bằng SIEM hoặc IDS.
Hành vi sau xâm nhập và mở rộng truy cập
Khoảng bốn ngày sau khi chiếm được quyền truy cập ban đầu, kẻ tấn công triển khai nhiều công cụ với quyền root và bắt đầu Active Directory enumeration bằng thông tin tài khoản dịch vụ lấy từ firewall. Hoạt động này nhắm đến domain root và DomainDnsZones, cho thấy mục tiêu mở rộng vào nội bộ sau khi đã khai thác thành công lỗ hổng CVE trên thiết bị biên.
Ngày 29/4/2026, một đợt SAML flood attack được thực hiện trên thiết bị đầu tiên bị xâm nhập, khiến một thiết bị thứ hai được nâng lên trạng thái Active và kế thừa cấu hình lưu lượng Internet-facing tương tự. Sau đó, remote code execution tiếp tục được thực hiện trên thiết bị thứ hai bằng cách tải và triển khai hai công cụ tunneling mã nguồn mở.
Công cụ được sử dụng
- EarthWorm: công cụ tunneling mạng mã nguồn mở viết bằng C, hỗ trợ Windows, Linux, macOS, ARM và MIPS.
- ReverseSocks5: dùng để tạo kết nối outbound đến controller do kẻ tấn công kiểm soát.
EarthWorm được dùng để thiết lập SOCKS5 proxy tunnel và các chuỗi mạng multi-hop, phù hợp với kỹ thuật tấn công mạng theo hướng ẩn lưu lượng và di chuyển ngang. ReverseSocks5 giúp vượt qua giới hạn firewall và NAT bằng cách định tuyến lưu lượng nội bộ thông qua proxy tunnel.
Hành vi IOC và dấu vết cần chú ý
Các IOC dưới đây được trích xuất trực tiếp từ mô tả sự cố và chuỗi khai thác của lỗ hổng CVE này:
- CVE-2026-0300 – Buffer overflow trong User-ID Authentication Portal của PAN-OS.
- CL-STA-1132 – Nhóm theo dõi hoạt động khai thác.
- EarthWorm – Công cụ tạo SOCKS5 proxy và multi-hop tunneling.
- ReverseSocks5 – Công cụ tạo kết nối outbound qua SOCKS5 tunnel.
- ptrace injection – Dấu hiệu tiêm tiến trình trong giai đoạn hậu khai thác.
- SUID privilege-escalation binaries – Dấu vết nhị phân leo thang đặc quyền.
Các IOC này nên được đối chiếu với log firewall, audit log, tiến trình nginx worker và các chỉ dấu reverse tunnel để phát hiện xâm nhập sớm. Trong bối cảnh rủi ro bảo mật tăng cao, việc theo dõi hành vi xóa log và triển khai công cụ tunneling là rất quan trọng.
Biện pháp giảm thiểu đối với lỗ hổng CVE
Khuyến nghị xử lý ngay lỗ hổng CVE này là giới hạn truy cập vào User-ID Authentication Portal chỉ trong các vùng nội bộ đáng tin cậy. Nếu cổng xác thực không cần thiết về mặt vận hành, nên vô hiệu hóa hoàn toàn để giảm nguy cơ bảo mật.
Các hành động cần thực hiện ngay
- Chỉ cho phép truy cập User-ID Authentication Portal từ trusted internal zones.
- Vô hiệu hóa Response Pages trong Interface Management Profile trên mọi giao diện L3 có thể truy cập từ mạng Internet hoặc mạng không tin cậy.
- Nếu không cần dùng, disable luôn Authentication Portal.
- Kiểm tra log để tìm dấu hiệu xóa log, shellcode injection và các kết nối tunneling bất thường.
Với các hệ thống PAN-OS phơi bày ra ngoài Internet, cập nhật bản vá và thu hẹp truy cập là hai biện pháp cốt lõi để giảm thiểu tác động của zero-day vulnerability. Khi chưa thể áp dụng ngay bản vá bảo mật, việc cô lập dịch vụ và giám sát lưu lượng là bước bắt buộc để giảm thiểu tấn công mạng tiếp diễn.
