Lỗ hổng CVE-2026-0257 là một cảnh báo CVE liên quan đến cơ chế xác thực trên PAN-OS và Prisma Access, đang bị khai thác tích cực trong thực tế. CISA đã đưa CVE này vào Known Exploited Vulnerabilities (KEV) vào ngày 29/05/2026. Tham chiếu chính thức có thể xem tại: NVD.
Phạm Vi Ảnh Hưởng Của Lỗ Hổng CVE
Lỗ hổng CVE này ảnh hưởng đến các cổng GlobalProtect portal và gateway trên thiết bị VPN doanh nghiệp. Theo advisory ngày 13/05/2026, CVE-2026-0257 cho phép một kẻ tấn công từ xa, không cần xác thực, giả mạo cookie authentication override để thiết lập kết nối VPN trái phép.
Cơ chế bị ảnh hưởng là tính năng không mặc định có tên authentication override. Tính năng này cho phép portal/gateway phát hành cookie phiên cho người dùng đã xác thực, hoạt động tương tự một bearer token, giúp người dùng không phải đăng nhập lại ở mỗi phiên.
Điểm nguy hiểm của lỗ hổng CVE nằm ở điều kiện phát sinh: khóa/chứng thư dùng để mã hóa và giải mã cookie bị chia sẻ với một tính năng khác, chẳng hạn dịch vụ HTTPS của portal hoặc gateway.
Cơ Chế Khai Thác Lỗ Hổng CVE-2026-0257
Khi binary /usr/local/bin/gpsvc thực hiện giải mã cookie nhưng không kiểm tra chữ ký sau giải mã, kẻ tấn công có thể dùng public key lấy từ chứng thư HTTPS bị lộ để tạo cookie hợp lệ. Kết quả là authentication bypass và bỏ qua hoàn toàn bước xác thực.
Đây là dạng remote unauthenticated attack, vì kẻ tấn công không cần thông tin đăng nhập hợp lệ để tạo cookie xác thực giả. Trong bối cảnh thiết bị VPN lộ ra Internet, lỗ hổng CVE này trở thành vector truy cập ban đầu có giá trị cao.
Chuỗi Xác Thực Bị Lạm Dụng
Các bước khai thác quan sát được xoay quanh cookie-based authentication:
- Thu thập chứng thư HTTPS công khai từ portal/gateway.
- Dùng public key tương ứng để tạo cookie giả mạo.
- Gửi cookie đến GlobalProtect gateway để vượt qua xác thực.
- Thiết lập kết nối VPN hoặc truy cập vào tài khoản quản trị cục bộ.
Quan Sát Khai Thác Thực Tế
Rapid7 ghi nhận dấu hiệu khai thác sớm nhất vào ngày 17/05/2026, với đợt tấn công đầu tiên xuất phát từ các IP được lưu trữ trên Vultr. Đến ngày 18/05, các hoạt động đáng ngờ liên quan đến xác thực bằng cookie đã được phát hiện trên nhiều môi trường khách hàng.
Trong các quan sát này, kẻ tấn công sử dụng tên máy GP-CLIENT cùng địa chỉ MAC giả mạo aa:bb:cc:dd:ee:ff để giả dạng một endpoint hợp lệ.
Đợt khai thác thứ hai xảy ra vào ngày 21/05/2026, lần này đến từ Dromatics Systems, với tên máy DESKTOP-GP01. Ở một số nạn nhân, cookie xác thực hợp lệ đã dẫn đến việc cấp phát đầy đủ VPN IP, cho phép truy cập trực tiếp vào mạng nội bộ.
Trong cả hai đợt, MAC spoofing nhất quán cho thấy nhiều khả năng cùng một tác nhân đứng sau các chiến dịch này. Ngoài ra, 8/10 khách hàng MDR bị ảnh hưởng chỉ ghi nhận các probe xác thực, chưa ghi nhận hoàn tất phiên VPN.
IOC Liên Quan Đến Lỗ Hổng CVE
IOC dưới đây được trích xuất trực tiếp từ các quan sát khai thác:
- Tên máy: GP-CLIENT
- Tên máy: DESKTOP-GP01
- MAC giả mạo: aa:bb:cc:dd:ee:ff
- Hạ tầng xuất phát đợt đầu: IPs hosted on Vultr
- Hạ tầng xuất phát đợt sau: Dromatics Systems
Ảnh Hưởng Hệ Thống
Lỗ hổng CVE này tác động trực tiếp đến các thiết bị VPN biên, nơi đóng vai trò cổng vào mạng nội bộ. Khi bị khai thác thành công, kẻ tấn công có thể:
- Thiết lập kết nối VPN trái phép.
- Truy cập vào tài nguyên nội bộ mà không cần đăng nhập hợp lệ.
- Chiếm quyền truy cập vào tài khoản quản trị cục bộ trong một số môi trường.
- Mở rộng phạm vi xâm nhập từ điểm truy cập Internet-facing vào mạng nội bộ.
Mặc dù điểm CVSSv4 được mô tả là trung bình, Rapid7 khuyến nghị xem đây là vulnerability ưu tiên cao vì tác động thực tế của một lỗ hổng CVE trên thiết bị VPN doanh nghiệp là rất lớn.
Phiên Bản Đã Vá Và Khuyến Nghị Cập Nhật Bản Vá
Tổ chức cần cập nhật bản vá ngay lập tức để loại bỏ rủi ro từ cảnh báo CVE này. Các phiên bản đã sửa lỗi được công bố gồm:
- PAN-OS 12.1.4-h6 / 12.1.7
- PAN-OS 11.2.12
- PAN-OS 11.1.15
- PAN-OS 10.2.18-h6
- Prisma Access 11.2.0 yêu cầu 11.2.7-h13 hoặc mới hơn
- Prisma Access 10.2.0 yêu cầu 10.2.10-h36 hoặc mới hơn
Tham khảo advisory chính thức của hãng tại: Security Advisory CVE-2026-0257.
Ưu Tiên Xử Lý
Vì đã có xác nhận khai thác thực tế và public proof-of-concept script, lỗ hổng CVE này cần được xử lý như một sự cố ưu tiên cao trên các thiết bị VPN công khai. Việc trì hoãn update vá lỗi làm tăng nguy cơ bị truy cập trái phép vào mạng nội bộ.
Điểm Kỹ Thuật Cần Lưu Ý
Trong bối cảnh an toàn thông tin, CVE-2026-0257 cho thấy rủi ro từ các cơ chế cookie dựa trên authentication override khi cấu hình chứng thư không tách biệt đúng giữa các dịch vụ. Nếu khóa/chứng thư được dùng chung cho nhiều thành phần, đặc biệt là HTTPS và cơ chế cấp cookie, khả năng bị giả mạo sẽ tăng mạnh.
Với thiết bị VPN internet-facing, bất kỳ lỗ hổng CVE nào cho phép authentication bypass đều cần được ưu tiên giám sát, kiểm tra log xác thực và thực hiện bản vá bảo mật ngay khi có phát hành chính thức.
