Palo Alto Networks chuẩn bị vá lỗ hổng Zero-Day bị khai thác để xâm nhập tường lửa

Palo Alto Networks đang khẩn trương làm việc để phát hành các bản vá lỗi cho một lỗ hổng zero-day nghiêm trọng trong phần mềm PAN-OS. Lỗi này hiện đang bị tin tặc khai thác để xâm nhập vào một số mẫu tường lửa của công ty.

Palo Alto Networks

Lỗ hổng, được theo dõi dưới mã định danh CVE-2026-0300, được mô tả là lỗi tràn bộ đệm (buffer overflow) ảnh hưởng đến dịch vụ User-ID Authentication Portal (hay còn gọi là Captive Portal) của PAN-OS.

Tác động của lỗ hổng

Zero-day này ảnh hưởng đến các dòng tường lửa PA và VM series. Nó cho phép một kẻ tấn công chưa được xác thực thực thi mã độc với quyền root (quyền quản trị cao nhất) thông qua các gói tin được tạo đặc biệt.

Trong một bản tư vấn, Palo Alto Networks cho biết: "Đã quan sát thấy việc khai thác hạn chế nhắm vào các Cổng xác thực User-ID của Palo Alto Networks được tiếp xúc với các địa chỉ IP không đáng tin cậy và/hoặc internet công cộng."

Không có nhiều thông tin chi tiết được chia sẻ về các cuộc tấn công đang khai thác CVE-2026-0300. Tuy nhiên, thuật ngữ "khai thác hạn chế" thường cho thấy một lỗ hổng đang bị lợi dụng trong các cuộc tấn công có mục tiêu cao bởi các tác nhân đe dọa tinh vi, thường là các nhóm hacker được nhà nước bảo trợ.

Lịch trình phát hành bản vá

Nhà cung cấp an ninh mạng này nhằm mục đích phát hành đợt bản vá đầu tiên vào ngày 13/5, với đợt sửa lỗi thứ hai dự kiến vào ngày 28/5.

Gã khổng lồ an ninh mạng lưu ý rằng lỗi này chỉ ảnh hưởng đến các tường lửa dòng PA và VM được cấu hình để sử dụng User-ID Authentication Portal. Việc giới hạn quyền truy cập vào cổng dịch vụ này chỉ cho các IP nội bộ đáng tin cậy sẽ làm giảm đáng kể rủi ro bị khai thác.

Theo Palo Alto Networks, các thiết bị Prisma Access, Cloud NGFW và Panorama không bị ảnh hưởng bởi CVE-2026-0300.

Bối cảnh an ninh mạng

Do được áp dụng rộng rãi tại các doanh nghiệp lớn và tổ chức chính phủ, tường lửa Palo Alto luôn là mục tiêu hàng đầu của các tác nhân đe dọa tinh vi.

Mặc dù chỉ có hai lỗ hổng trong các thiết bị của công ty bị khai thác trong tự nhiên vào năm 2025, nhưng năm 2024 đã chứng kiến con số cao hơn nhiều với bảy lỗi bị khai thác, bao gồm cả bởi các hacker nhà nước.

Hiện tại, danh mục Các Lỗ hổng Đã được Khai thác (KEV) của CISA bao gồm 13 lỗ hổng sản phẩm của Palo Alto, nhưng CVE-2026-0300 chưa được đưa vào danh sách này.

Các chuyên gia khuyến cáo người dùng nên kiểm tra cấu hình của mình ngay lập tức và đảm bảo rằng cổng Captive Portal không được truy cập công khai cho đến khi bản vá được áp dụng.