Palo Alto Networks đã khắc phục một lỗ hổng command injection mới trong PAN‑OS, được định danh là CVE-2026-0273. Lỗ hổng này cho phép kẻ tấn công đã được xác thực thực thi các lệnh tùy ý với quyền root thông qua giao diện dòng lệnh (CLI) hoặc giao diện quản lý web. Đây là một cảnh báo CVE quan trọng đối với các tổ chức sử dụng thiết bị tường lửa của Palo Alto Networks.
Chi tiết về Lỗ hổng CVE-2026-0273
Lỗ hổng này được xếp hạng 6.1 theo thang điểm CVSS v4.0. Nguyên nhân xuất phát từ việc xử lý đầu vào không đúng cách, tạo điều kiện cho một quản trị viên đã xác thực có thể vượt qua các giới hạn hệ thống thông thường và chạy các lệnh hệ điều hành tùy ý với đặc quyền root. Điều này có thể xảy ra thông qua cả CLI và giao diện quản lý web.
Điểm đáng chú ý là không yêu cầu cấu hình đặc biệt nào để khai thác. Chỉ cần người dùng có đặc quyền có thể đăng nhập vào giao diện quản lý bị ảnh hưởng là thiết bị đã có nguy cơ. Các sản phẩm Cloud NGFW và Prisma Access không bị ảnh hưởng bởi lỗ hổng này.
Ảnh hưởng hệ thống và các phiên bản bị ảnh hưởng
CVE-2026-0273 ảnh hưởng đến các dòng tường lửa PA-Series và VM-Series, cũng như các thiết bị quản lý Panorama. Các phiên bản PAN-OS bị ảnh hưởng bao gồm 12.1, 11.2, 11.1 và 10.2. Tuy nhiên, các bản vá lỗi nóng (hotfix) như 12.1.4‑h7, 11.2.4‑h18, 11.1.4‑h34, 10.2.7‑h35 và các bản phát hành bảo trì sau này như 12.1.7, 11.2.12, 11.1.15, và 10.2.18‑h7 đã khắc phục lỗ hổng này.
Palo Alto Networks không ghi nhận bất kỳ trường hợp khai thác độc hại nào đối với lỗ hổng này tại thời điểm công bố. Tuy nhiên, các tổ chức vận hành các nhánh PAN-OS cũ hơn, không còn được hỗ trợ, được khuyến cáo nâng cấp lên phiên bản được hỗ trợ và đã vá lỗi thay vì chỉ dựa vào cấu hình.
Các Lỗ hổng Liên quan Khác
Ngoài CVE-2026-0273, Palo Alto Networks cũng công bố hai lỗ hổng bảo mật khác có mức độ nghiêm trọng trung bình:
CVE-2026-0272: Leo thang đặc quyền trong CLI
Đây là một lỗ hổng leo thang đặc quyền (privilege escalation) trong PAN-OS CLI, cho phép quản trị viên đã xác thực thực hiện các hành động trên thiết bị với quyền root. Giống như CVE-2026-0273, lỗ hổng này ảnh hưởng đến các thiết bị PA-Series, VM-Series và Panorama trên các phiên bản 12.1, 11.2, 11.1 và 10.2. Các bản vá lỗi được cung cấp trong các bản hotfix và các phiên bản bảo trì mới nhất cho mỗi nhánh.
CVE-2026-0269: Từ chối dịch vụ (DoS) qua Tunnel Traffic
Lỗ hổng này là một lỗi làm hỏng bộ nhớ trong quá trình xử lý tunnel traffic. Kẻ tấn công có thể làm cho tường lửa khởi động lại liên tục bằng cách gửi các gói tin được chế tạo đặc biệt. Các thiết bị được cấu hình với IPsec tunnels hoặc GlobalProtect gateways có nguy cơ. Việc khai thác liên tục có thể đẩy tường lửa vào chế độ bảo trì, ảnh hưởng đến tính khả dụng của hệ thống.
Palo Alto Networks không cung cấp giải pháp khắc phục thực tế cho CVE-2026-0269 ngoài việc nâng cấp lên phiên bản mã nguồn đã được vá lỗi và xem xét lại cấu hình tunnel.
Các Biện pháp Phòng ngừa và Khuyến nghị
Mặc dù cả ba lỗ hổng đều yêu cầu quyền truy cập đã được xác thực, chúng cung cấp khả năng tận dụng mạnh mẽ sau khi xâm nhập, cho phép kẻ tấn công chiếm quyền điều khiển root của thiết bị hoặc làm gián đoạn các dịch vụ VPN và truy cập từ xa. Do đó, việc cập nhật bản vá cho các lỗ hổng này nên được ưu tiên hàng đầu, đặc biệt là trong các môi trường mà các điểm cuối quản lý hoặc tunnel có thể truy cập được từ các mạng bán tin cậy.
Hạn chế truy cập quản lý
Palo Alto Networks khuyến nghị hạn chế quyền truy cập quản lý chỉ đối với các địa chỉ IP nội bộ đáng tin cậy và giới hạn quyền truy cập CLI cho một nhóm nhỏ các quản trị viên, tuân thủ các hướng dẫn thực tiễn tốt nhất về truy cập quản trị. Sử dụng một jump box được tăng cường bảo mật làm máy chủ duy nhất có quyền truy cập vào giao diện quản lý tường lửa sẽ giảm thiểu rủi ro lạm dụng thông tin đăng nhập bị đánh cắp.
Sử dụng Threat Prevention
Khách hàng có đăng ký Threat Prevention có thể chặn các nỗ lực khai thác cho CVE-2026-0273 bằng cách kích hoạt các Threat ID chuyên dụng, với điều kiện lưu lượng quản lý được định tuyến qua một giao diện data plane và được giải mã để tường lửa có thể kiểm tra. Tham khảo CISA để biết các khuyến nghị bảo mật bổ sung.
Việc bảo mật thông tin và an ninh mạng là yếu tố then chốt để bảo vệ hệ thống khỏi các mối đe dọa mạng tiềm ẩn. Việc theo dõi và áp dụng các bản vá bảo mật kịp thời là một phần không thể thiếu trong chiến lược an toàn thông tin của mọi tổ chức.
