Lỗ hổng xác thực VPN của Palo Alto đang bị tin tặc khai thác tích cực

Khách hàng của Palo Alto Networks vừa nhận được cảnh báo khẩn cấp yêu cầu vá lỗi một lỗ hổng bảo mật mới nghiêm trọng trên hệ thống internet-facing sau khi các nhà nghiên cứu bắt thấy tin tặc đang lợi dụng nó để vượt qua xác thực GlobalProtect và truy cập trái phép vào VPN.

Lỗ hổng này, được theo dõi dưới mã định danh CVE-2026-0257, ảnh hưởng đến các triển khai PAN-OS sử dụng cookie ghi đè xác thực (authentication override cookies) của GlobalProtect trong các cấu hình cụ thể. Vào ngày 13 tháng 5, Palo Alto đã công bố thông tin về lỗi này và ban đầu đánh giá nó ở mức độ nghiêm trọng trung bình. Khi đó, hãng cho biết họ đã biết đến các nỗ lực khai thác nhưng chưa quan sát thấy hành vi độc hại thực tế nào.

Tuy nhiên, đánh giá đó đã nhanh chóng trở nên lạc lõng trước thực tế mới.

Rapid7 phát hiện khai thác thực tế

Các chuyên gia bảo mật tại Rapid7 cho biết họ đã quan sát thấy việc khai thác thành công lỗ hổng này trên nhiều môi trường khách hàng, bắt đầu từ ít nhất là ngày 17 tháng 5. Họ cũng đã xác nhận kỹ thuật tấn công này thông qua thử nghiệm khái niệm (proof-of-concept) của riêng mình. Theo Rapid7, những kẻ tấn công đã thiết lập các phiên VPN trái phép trên hệ thống dễ bị tổn thương, có khả năng cấp quyền truy cập vào mạng nội bộ doanh nghiệp mà không cần thông tin xác thực hợp lệ.

Phân tích của Rapid7 cho thấy nguyên nhân sâu xa của lỗi nằm ở cách PAN-OS tin tưởng các cookie ghi đè xác thực. Trong một số triển khai cụ thể, tin tặc có thể tự tạo ra cookie của riêng mình và khiến tường lửa chấp nhận chúng là hợp lệ. Rủi ro cao nhất xảy ra ở nơi cùng một chứng chỉ số (certificate) được sử dụng cho cả dịch vụ HTTPS và cookie ghi đè xác thực; điều này cung cấp cho kẻ xấu thông tin cần thiết để tạo ra các bản giả mạo thuyết phục.

Rapid7 nhận thấy nhiều đợt hoạt động nhắm vào các thiết bị dễ bị tổn thương. Trong một số trường hợp, tội phạm mạng đã lấy được thành công địa chỉ IP VPN và quyền truy cập mạng. Tuy nhiên, công ty cho biết họ không quan sát thấy bằng chứng về việc di chuyển ngang (lateral movement) thành công sau khi truy cập ban đầu trong các sự cố mà họ điều tra.

Cập nhật từ CISA và Palo Alto

Hiện tại, lỗ hổng này đã được đưa vào danh mục Known Exploited Vulnerabilities Catalog của CISA (Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ). Các cơ quan liên bang được yêu cầu phải vá lỗi hoặc bảo mật các hệ thống bị ảnh hưởng trước ngày 1 tháng 6.

Palo Alto Networks cũng đã sửa đổi tư vấn bảo mật của mình, nâng cao mức độ đánh giá nghiêm trọng và gắn nhãn khẩn cấp cao nhất. Các bản sửa lỗi hiện đã có sẵn cho các bản phát hành được hỗ trợ.

"Palo Alto Networks đã nhận thấy các nỗ lực khai thác hạn chế trên các thiết bị PAN-OS chưa được vá và không có biện pháp giảm thiểu được áp dụng", công ty tuyên bố trong bản cập nhật.

Bối cảnh lo ngại

Cơn đau đầu mới nhất này đối với PAN-OS xuất hiện chưa đầy một tháng sau một tình huống khẩn cấp khác của Palo Alto. Vào tháng 5, các tin tặc được nhà nước bảo trợ đã được phát hiện đang khai thác CVE-2026-0300, một lỗ hổng thực thi mã từ xa (remote code execution) nghiêm trọng trong Cổng xác thực User-ID của PAN-OS, trước khi các bản vá được phổ biến rộng rãi.

Các tổ chức đang chạy các cổng GlobalProtect dễ bị tổn thương giờ đây đối mặt với một sự lựa chọn quen thuộc: vá lỗi nhanh chóng hoặc chấp nhận rủi ro để kẻ khác đến trước.