Lỗ hổng Zero-Day của Palo Alto Networks bị khai thác, dấu hiệu chỉ tay tới tin tặc nhà nước Trung Quốc

Palo Alto Networks vừa chia sẻ thông tin chi tiết về việc khai thác lỗ hổng zero-day vừa được công bố ảnh hưởng đến một số dòng tường lửa của hãng. Mặc dù công ty an ninh mạng này chưa trực tiếp quy trách nhiệm cho một tác nhân đe dọa cụ thể hay quốc gia nào, nhưng các bằng chứng hiện có đều chỉ hướng về Trung Quốc.

Trong một bản tư vấn được công bố vào ngày 6/5, Palo Alto Networks đã thông báo cho khách hàng về lỗ hổng CVE-2026-0300. Lỗi này ảnh hưởng đến Cổng xác thực User-ID (User-ID Authentication Portal) trên các dòng tường lửa PA và VM series.

Lỗ hổng bảo mật Palo Alto Networks

Công ty cho biết lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (remote code execution) mà không cần xác thực với đặc quyền root. Đáng chú ý, lỗi này đã bị khai thác dưới dạng zero-day trong thực tế trước khi được vá.

Các bản vá dự kiến sẽ được phát hành vào ngày 13/5 và 28/5. Trong thời gian chờ đợi, công ty đã chia sẻ các biện pháp giảm thiểu rủi ro và giải pháp tạm thời để ngăn chặn việc khai thác.

Ngay sau khi CVE-2026-0300 được công bố, Palo Alto Networks đã đăng tải một bài viết trên blog mô tả cách thức lỗ hổng này bị khai thác trong tự nhiên.

Theo công ty, một nhóm đe dọa được theo dõi dưới mã định danh CL-STA-1132, có khả năng được tài trợ bởi nhà nước, đứng sau vụ tấn công này. Các nỗ lực khai thác đầu tiên được quan sát thấy vào ngày 9/4 nhưng không thành công. Tuy nhiên, chỉ một tuần sau, lỗ hổng đã được tận dụng thành công để thực thi mã từ xa và chèn shellcode vào quy trình worker Nginx.

"Sau khi xâm nhập thành công, những kẻ tấn công ngay lập tức thực hiện dọn dẹp nhật ký hệ thống để tránh bị phát hiện bằng cách xóa các thông điệp lỗi của hạt nhân, xóa các mục nhập và bản ghi sự cố nginx, cũng như loại bỏ các tệp dump lõi sự cố," Palo Alto giải thích.

Bốn ngày sau, kẻ tấn công đã triển khai một số công cụ với đặc quyền root, sau đó thực hiện liệt kê Active Directory (AD) sử dụng thông tin đăng nhập của tài khoản dịch vụ tường lửa để nhắm mục tiêu đến root miền và DomainDnsZones. Sau khi liệt kê xong, chúng đã xóa bằng chứng chèn ptrace khỏi nhật ký kiểm tra và xóa tệp nhị phân leo thang đặc quyền SetUserID (SUID).

Những kẻ tấn công đã triển khai các công cụ mã nguồn mở là Earthworm và ReverseSocks5. Earthworm là công cụ tạo đường hầm mạng cho phép kẻ tấn công thiết lập kênh liên lạc bí mật, trong khi ReverseSocks5 giúp chúng vượt qua tường lửa và NAT.

Mặc dù công ty an ninh mạng chưa chính thức quy kết vụ tấn công này cho một quốc gia cụ thể, nhưng các bằng chứng được trình bày đều chỉ ra Trung Quốc là nghi can chính.

Earthworm và ReverseSocks5 chủ yếu được sử dụng bởi các nhóm APT Trung Quốc, bao gồm Volt Typhoon và APT41. Việc tiêu hủy nhật ký cũng thường xuyên được quan sát thấy trong các cuộc tấn công do các tác nhân đe dọa Trung Quốc thực hiện.

Việc nhắm mục tiêu vào Active Directory cũng là một đặc điểm nhận dạng của các nhóm Trung Quốc, mặc dù tin tặc nhà nước khác và tội phạm mạng cũng sử dụng kỹ thuật này.

"Sự phụ thuộc của những kẻ tấn công đứng sau CL-STA-1132 vào các công cụ mã nguồn mở, thay vì malware độc quyền, đã giảm thiểu việc phát hiện dựa trên chữ ký số và tạo điều kiện tích hợp liền mạch vào môi trường," Palo Alto nhận định. "Lựa chọn kỹ thuật này, kết hợp với nhịp độ hoạt động kỷ luật của các phiên tương tác gián đoạn trong nhiều tuần, đã cố ý duy trì dưới ngưỡng hành vi của hầu hết các hệ thống cảnh báo tự động."