Lỗ hổng Zero-day nghiêm trọng trên tường lửa Palo Alto đang bị tin tặc nhà nước khai thác tích cực

Các tin tặc được nhà nước bảo trợ đang âm thầm khai thác một lỗ hổng zero-day mới trên tường lửa Palo Alto Networks để đạt quyền truy cập root mà không cần đăng nhập.

Lỗi bảo mật, được theo dõi với mã số CVE-2026-0300 và có điểm xếp hạng nghiêm trọng CVSS là 9.3, ảnh hưởng đến tính năng Cổng Portal (Captive Portal) trong hệ điều hành PAN-OS trên các dòng tường lửa PA-Series và VM-Series. Theo Palo Alto Networks, vấn đề này xuất phát từ một lỗi hỏng bộ nhớ (memory corruption bug) trong Cổng Xác thực User-ID (User-ID Authentication Portal) — một tính năng được sử dụng để xử lý đăng nhập cho những người dùng mà tường lửa không thể tự động nhận diện.

Nếu khai thác thành công, lỗi này cho phép kẻ tấn công thực thi mã từ xa (remote code execution) trên các thiết bị được kết nối internet với đặc quyền cao nhất là root.

Theo nhóm thông tin tình báo đe dọa Unit 42 của nhà sản xuất, các cuộc tấn công đã đang diễn ra và được liên kết với một cụm hoạt động đe dọa "có khả năng được bảo trợ bởi nhà nước", được mã danh là CL-STA-1132. Kẻ tấn công bị cáo buộc đã sử dụng zero-day này để chèn shellcode vào một quy trình worker nginx đang chạy trên các thiết bị bị xâm phạm.

Palo Alto cho biết các nỗ lực khai thác thất bại đầu tiên bắt đầu vào ngày 9 tháng 4. Khoảng một tuần sau, kẻ tấn công đã thực hiện thành công việc thực thi mã từ xa trên một tường lửa mục tiêu, sau đó xóa sạch nhật ký hệ thống, báo cáo sự cố và các hồ sơ khác liên quan đến việc xâm phạm.

Sau đó, kẻ tấn công đã sử dụng quyền truy cập này để di chuyển sâu hơn vào mạng của nạn nhân, bao gồm cả việc quét dò (probing) các hệ thống Active Directory, đồng thời tiếp tục dọn dẹp các dấu vết xâm nhập khỏi các thiết bị bị compromise.

Theo Palo Alto, chiến dịch này đã mở rộng quy mô vào ngày 29 tháng 4 khi kẻ tấn công kích hoạt một lượng lớn lưu lượng xác thực, khiến một tường lửa phụ phải tiếp nhận các nhiệm vụ kết nối internet. Kẻ tấn công sau đó cũng xâm phạm thành công thiết bị này và cài đặt các công cụ truy cập từ xa bổ sung.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã nhanh chóng đưa lỗ hổng này vào danh mục Các Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities catalog), đây thường là cách chính phủ "nhẹ nhàng" nhắc nhở rằng bạn cần vá lỗi ngay lập tức nếu không muốn mất cuối tuần.

Tuy nhiên, có một rào cản lớn: hiện tại vẫn chưa có bản vá nào được phát hành.

Cho đến khi bản vá chính thức ra mắt, Palo Alto đang khẩn thiết khuyến cáo khách hàng nên khóa chặt Cổng Xác thực User-ID để chỉ có thể truy cập được từ các mạng tin cậy (trusted networks), hoặc vô hiệu hóa hoàn toàn tính năng này.

Cảnh báo này được đưa ra sau một giai đoạn đầy sóng gió đối với người dùng PAN-OS. Trong hai năm qua, tường lửa Palo Alto thường xuyên trở thành mục tiêu của tin tặc, với nhiều chiến dịch zero-day tấn công các thiết bị kết nối internet trước khi các bản vá được triển khai rộng rãi. Trong nhiều trường hợp, kẻ tấn công đã xâu chuỗi nhiều lỗi lại với nhau để đột nhập vào mạng thông qua chính những thiết bị được thiết kế để bảo vệ chúng.