Palo Alto Networks Unit 42 đã đưa ra cảnh báo khẩn cấp về việc khai thác chủ động CVE-2026-0257, một lỗ hổng bỏ qua xác thực nghiêm trọng ảnh hưởng đến các thành phần GlobalProtect portal và gateway của phần mềm PAN-OS. Lỗ hổng này cho phép kẻ tấn công từ xa chưa được xác thực vượt qua các biện pháp kiểm soát bảo mật và khởi tạo các kết nối VPN trái phép mà không yêu cầu bất kỳ thông tin đăng nhập nào. Đây là một mối đe dọa mạng đặc biệt nguy hiểm cho các tổ chức sử dụng sản phẩm của Palo Alto Networks.
Phân tích chi tiết về Lỗ hổng CVE-2026-0257
Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã thêm CVE-2026-0257 vào danh mục các lỗ hổng bị khai thác đã biết (Known Exploited Vulnerabilities – KEV) vào ngày 29 tháng 5 năm 2026. Việc này phản ánh mức độ nghiêm trọng của lỗ hổng và hoạt động khai thác thực tế đã được xác nhận trong tự nhiên.
Các nhà nghiên cứu của Unit 42 đã xác định một tác nhân đe dọa chưa rõ danh tính đang tích cực thăm dò các thiết bị được kích hoạt GlobalProtect. Mặc dù tác nhân này đã thăm dò thành công một tập hợp lớn các mục tiêu, chỉ một phần nhỏ thiết lập các phiên VPN thực tế, dẫn đến các sự kiện kết nối gateway.
Hiện tại, chưa có hành vi truy cập sau, di chuyển ngang hay đánh cắp dữ liệu được xác nhận, nhưng cánh cửa cho các hành động tiếp theo vẫn còn mở. Việc nhanh chóng phát hiện và ứng phó với các lỗ hổng CVE này là cực kỳ quan trọng.
Khả năng khai thác và Tác động
Kẻ tấn công có thể khai thác lỗ hổng này từ xa và không cần xác thực. Thành công trong việc khai thác cho phép kẻ tấn công vượt qua các cơ chế xác thực của GlobalProtect portal và gateway.
Hậu quả trực tiếp là kẻ tấn công có thể thiết lập các kết nối VPN trái phép vào mạng nội bộ của tổ chức. Điều này mở ra cánh cửa cho các hành động tấn công tiếp theo như xâm nhập mạng, đánh cắp dữ liệu hoặc triển khai mã độc.
Mặc dù các nhà nghiên cứu chưa ghi nhận các hành vi di chuyển ngang hoặc đánh cắp dữ liệu sau khi thiết lập kết nối VPN, nguy cơ này luôn tiềm ẩn. Các tổ chức cần xem xét đây là một cảnh báo CVE nghiêm trọng và ưu tiên khắc phục.
Phát hiện và Ứng phó với Tấn công
Các tổ chức được khuyến cáo khẩn trương săn lùng các chỉ số xâm nhập (Indicators of Compromise – IOCs) trong các bản ghi GlobalProtect của mình. Đồng thời, cần kích hoạt các quy trình ứng phó sự cố đối với bất kỳ sự kiện kết nối gateway thành công nào liên quan đến các chỉ số được liệt kê.
Chỉ số Xâm nhập (IOCs)
Các chuyên gia săn lùng mối đe dọa nên tìm kiếm trong các bản ghi GlobalProtect các kết nối đăng nhập thành công từ các địa chỉ IP sau đây. Cần đặc biệt chú ý đến các hoạt động diễn ra trước ngày công bố bằng chứng khái niệm (PoC) vào ngày 29 tháng 5 năm 2026:
198.18.13.160198.18.13.193
Khuyến nghị hành động
Các tổ chức cần xem xét ngay lập tức khuyến cáo bảo mật chính thức từ Palo Alto Networks tại https://security.paloaltonetworks.com/CVE-2026-0257. Áp dụng các giải pháp tạm thời có sẵn hoặc nâng cấp lên phiên bản PAN-OS đã được vá lỗi.
Rapid7 cũng đã công bố một phân tích kỹ thuật tại https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/ về hoạt động khai thác đã được quan sát thấy trong thực tế.
Việc triển khai bản vá bảo mật kịp thời là biện pháp hiệu quả nhất để phòng chống các cuộc tấn công mạng khai thác lỗ hổng này. Đảm bảo hệ thống luôn được cập nhật các bản vá mới nhất giúp giảm thiểu tối đa rủi ro bảo mật.
Nhanh chóng thực hiện kiểm tra log và áp dụng các biện pháp khắc phục là bước đi quan trọng để bảo vệ hệ thống khỏi các nguy cơ tiềm ẩn. Việc này giúp ngăn chặn khả năng hệ thống bị xâm nhập trái phép.
