Lỗ hổng nghiêm trọng: Cần cập nhật bản vá khẩn cấp cho PAN-OS

Lỗ hổng nghiêm trọng: Cần cập nhật bản vá khẩn cấp cho PAN-OS

Palo Alto Networks đã công bố một lỗ hổng nghiêm trọng trong PAN-OS, có khả năng cho phép kẻ tấn công không được xác thực thực thi mã tùy ý hoặc gây ra tình trạng từ chối dịch vụ (DoS) bằng cách gửi lưu lượng mạng được chế tạo đặc biệt.

Chi tiết Lỗ hổng CVE-2026-0288

Lỗ hổng này, được theo dõi dưới mã CVE-2026-0288, có điểm CVSS-B là 9.2 (HIGH) với điểm CVSS-BT là 7.2. Nhà cung cấp đã gán cho nó mức độ khẩn cấp CAO NHẤT.

Nguyên nhân và Cơ chế Khai thác

Vấn đề bắt nguồn từ nhiều lỗ hổng tràn bộ đệm (buffer overflow) trong thành phần User-ID Terminal Server Agent (TSA) của PAN-OS. Kẻ tấn công có quyền truy cập mạng tới địa chỉ IP và cổng TSA, không yêu cầu xác thực hoặc tương tác người dùng, có thể khai thác lỗ hổng này để làm hỏng bộ nhớ.

Việc làm hỏng bộ nhớ này có thể dẫn đến thực thi mã từ xa (RCE) hoặc gây sập dịch vụ bị ảnh hưởng, tạo ra nguy cơ bảo mật đáng kể.

Phạm vi Ảnh hưởng của Lỗ hổng

Lỗ hổng này chỉ ảnh hưởng đến các thiết bị đã được cấu hình ít nhất một mục Terminal Server Agent. Người dùng có thể tìm thấy mục cấu hình này trong đường dẫn Device > User Identification > Terminal Server Agents.

Điều quan trọng cần lưu ý là Panorama không bị ảnh hưởng bởi lỗ hổng này. Tương tự, Cloud NGFW trên AWS cũng nằm ngoài phạm vi ảnh hưởng.

Các Phiên bản PAN-OS Bị Ảnh hưởng

Lỗ hổng này lan rộng trên nhiều nhánh PAN-OS. Cụ thể:

  • PAN-OS 10.2: Các phiên bản
  • PAN-OS 11.0: Các phiên bản
  • PAN-OS 11.1: Các phiên bản

Palo Alto Networks lưu ý rằng mức độ nghiêm trọng của rủi ro thay đổi tùy thuộc vào mức độ tiếp xúc của thiết bị. Các thiết bị có TSA bị phơi nhiễm ra Internet hoặc các mạng không tin cậy đối mặt với mức độ nghiêm trọng CAO (CVSS-B 9.2).

Ngược lại, các thiết bị chỉ giới hạn quyền truy cập TSA vào các địa chỉ IP nội bộ đáng tin cậy sẽ có rủi ro giảm xuống (CVSS-B 7.7). Hiện tại, nhà cung cấp chưa ghi nhận bất kỳ trường hợp khai thác tích cực nào đối với lỗ hổng này.

Khuyến nghị và Biện pháp Khắc phục

Palo Alto Networks thúc giục việc cập nhật bản vá ngay lập tức trên tất cả các nhánh bị ảnh hưởng. Các phiên bản vá lỗi cụ thể sẽ khác nhau tùy thuộc vào bản phát hành nhỏ. Người dùng nên tham khảo bảng giải pháp chi tiết trong thông báo bảo mật của nhà cung cấp.

Đối với khách hàng sử dụng Prisma Access, các bản nâng cấp sẽ được triển khai trong các chu kỳ bảo trì theo lịch trình. Tuy nhiên, người dùng có thể yêu cầu nâng cấp theo yêu cầu thông qua bộ phận hỗ trợ.

Biện pháp Giảm thiểu Tạm thời

Như một biện pháp giảm thiểu tạm thời, các tổ chức nên hạn chế kết nối User-ID Terminal Server Agent chỉ với các địa chỉ IP nội bộ đáng tin cậy. Việc này cần tuân thủ theo các hướng dẫn triển khai tốt nhất của Palo Alto Networks.

Biện pháp này giúp giảm đáng kể bề mặt tấn công ngay cả trước khi áp dụng các bản vá lỗi. Việc cấu hình đúng đắn các quy tắc tường lửa và danh sách kiểm soát truy cập (ACL) là rất quan trọng để đảm bảo an toàn mạng.

Một đường dẫn hữu ích để tham khảo các thực tiễn tốt nhất có thể xem tại: Palo Alto Networks Best Practices.

Thông tin về Phát hiện Lỗ hổng

Lỗ hổng này đã được nhà nghiên cứu bảo mật Liang Zhu báo cáo một cách có trách nhiệm. Palo Alto Networks ghi nhận công lao của ông trong việc phát hiện ra lỗ hổng này. Với vector tấn công qua mạng, độ phức tạp thấp và không yêu cầu đặc quyền, các tổ chức đang chạy cấu hình TSA bị phơi nhiễm nên ưu tiên vá lỗi ngay lập tức để ngăn chặn các cuộc tấn công mạng tiềm tàng.