CVE-2026-0300: ผู้ดูแล Palo Alto PAN-OS ต้องล็อก Captive Portal ตอนนี้

ทำไม CVE-2026-0300 ต้องเร่งตอนนี้

ลักษณะของช่องโหว่นี้ครบสูตรที่ทีมความปลอดภัยควรดันขึ้นลำดับแรก: โจมตีผ่านเครือข่าย, ความซับซ้อนต่ำ, ไม่ต้องมีสิทธิ์เดิม, ไม่ต้องให้ผู้ใช้กดอะไร, ไม่มีเงื่อนไขพิเศษก่อนโจมตี และทำเป็นการโจมตีอัตโนมัติได้ . Unit 42 ระบุว่าทราบการใช้ประโยชน์จากช่องโหว่นี้ในวงจำกัด และกำลังติดตามคลัสเตอร์กิจกรรม CL-STA-1132 ซึ่งน่าจะมีลักษณะ state-sponsored . ศูนย์ความมั่นคงไซเบอร์ของแคนาดายังรายงานว่า Palo Alto ได้รับรายงานการโจมตีจริง และ CISA เพิ่ม CVE-2026-0300 เข้า Known Exploited Vulnerabilities หรือ KEV catalog เมื่อวันที่ 6 พฤษภาคม 2026 .

คำว่าโจมตีในวงจำกัดไม่ได้แปลว่าปลอดภัยพอจะเลื่อนงานได้ Center for Internet Security ระบุว่าการโจมตีมุ่งไปที่ User-ID Authentication Portal ที่เปิดให้เข้าถึงจาก IP ที่ไม่เชื่อถือหรืออินเทอร์เน็ตสาธารณะ ขณะที่ลูกค้าที่จำกัดพอร์ทัลสำคัญไว้เฉพาะเครือข่ายภายในที่เชื่อถือได้มีความเสี่ยงลดลงอย่างมาก . Unit 42 ให้ภาพเดียวกันว่า ความเสี่ยงของ unauthenticated RCE สูงขึ้นชัดเจนเมื่อพอร์ทัลเปิดออกสู่อินเทอร์เน็ตสาธารณะหรือเครือข่ายที่ไม่เชื่อถือ .

ระบบที่ควรตรวจสอบก่อน

เริ่มจากไฟร์วอลล์ Palo Alto Networks PA-Series และ VM-Series ที่รัน PAN-OS และเปิดใช้งาน User-ID Authentication Portal/Captive Portal . รายงานสาธารณะเกี่ยวกับการให้คะแนนของ Palo Alto ระบุว่า CVSS อยู่ที่ 9.3 เมื่อพอร์ทัลถูกตั้งค่าให้เข้าถึงได้จากอินเทอร์เน็ตหรือเครือข่ายที่ไม่เชื่อถือ และลดเป็น 8.7 เมื่อจำกัดการเข้าถึงเฉพาะ IP ภายในที่เชื่อถือได้ . แต่คะแนนที่ลดลงไม่ใช่สถานะว่าแก้แล้ว ระบบที่ได้รับผลกระทบยังต้องเดินตามเส้นทางอัปเดตที่ผู้ขายแนะนำ .

Unit 42 ระบุว่า Prisma Access, Cloud NGFW และ Panorama appliances ไม่ได้รับผลกระทบจากช่องโหว่นี้ . ข้อมูลนี้ช่วยจำกัดขอบเขตการตรวจสอบได้ แต่ไม่ควรใช้แทนการ audit ไฟร์วอลล์ PA-Series และ VM-Series จริง โดยเฉพาะสภาพแวดล้อมที่ Captive Portal เคยเปิดถึง IP ที่ไม่เชื่อถือ .

แผนปฏิบัติการทันทีสำหรับผู้ดูแล PAN-OS

1. หาให้ครบว่ามี User-ID Authentication Portal อยู่ที่ไหนบ้าง

ทำ inventory ไฟร์วอลล์ PAN-OS แล้วระบุว่าอุปกรณ์ PA-Series และ VM-Series เครื่องใดเปิด User-ID Authentication Portal/Captive Portal อยู่ . สำหรับแต่ละเครื่อง ให้บันทึกว่าพอร์ทัลเข้าถึงได้จากอินเทอร์เน็ต จากเครือข่ายที่ไม่เชื่อถือ หรือเฉพาะช่วง IP ภายในที่เชื่อถือได้เท่านั้น กรณีที่เปิดถึง public internet หรือ untrusted network ควรถูกจัดเป็นลำดับสูงสุด เพราะเป็นเงื่อนไขที่รายงานต่าง ๆ ระบุว่าความเสี่ยงสูงขึ้น .

2. จำกัดหรือปิดการเข้าถึงพอร์ทัลทันที

จำกัด User-ID Authentication Portal ให้เข้าถึงได้เฉพาะเครือข่ายภายในที่เชื่อถือได้เท่านั้น หากทำไม่ได้อย่างมั่นใจ ให้ปิดการเข้าถึงพอร์ทัลจนกว่าจะ remediation ได้ หน่วยงาน Cyber Security Agency ของสิงคโปร์แนะนำให้ผู้ใช้และผู้ดูแลระบบของเวอร์ชันที่ได้รับผลกระทบจำกัดหรือปิด portal access จนกว่าจะมี security updates .

3. แพตช์จาก advisory ของ Palo Alto ไม่ใช่จากตารางเวอร์ชันที่คัดลอกต่อกันมา

CERT-EU แนะนำให้อัปเดตอุปกรณ์ที่ได้รับผลกระทบโดยเร็วเมื่อมีแพตช์ พร้อมใช้ workaround และ mitigation ระหว่างรอ . สำหรับเวอร์ชันที่ได้รับผลกระทบและ fixed version ของแต่ละสาย PAN-OS ให้ใช้ advisory ของ Palo Alto Networks สำหรับ CVE-2026-0300 เป็นแหล่งอ้างอิงหลัก .

4. หลังแพตช์แล้ว ต้องยืนยัน exposure control อีกครั้ง

อย่าถือว่า software update เพียงอย่างเดียวแก้ความเสี่ยงจากการออกแบบ deployment แล้ว หลังแพตช์ ให้ยืนยันว่า User-ID Authentication Portal ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะหรือเครือข่ายที่ไม่เชื่อถือ เว้นแต่มีเหตุผลทางธุรกิจที่บันทึกไว้และมีมาตรการชดเชยความเสี่ยงที่เหมาะสม การจำกัดพอร์ทัลสำคัญไว้เฉพาะเครือข่ายภายในที่เชื่อถือได้ถูกอธิบายว่าเป็นแนวทางปฏิบัติที่ช่วยลดความเสี่ยงอย่างมาก .

5. ตรวจสอบการถูกบุกรุกสำหรับไฟร์วอลล์ที่เคยเปิดออกภายนอก

ไฟร์วอลล์ที่ได้รับผลกระทบและเคยเปิดพอร์ทัลสู่เครือข่ายที่ไม่เชื่อถือควรผ่านการ compromise assessment ก่อนกลับไปถูกมองว่า trusted ตามปกติ เก็บรักษา logs, ตรวจสอบทราฟฟิกของพอร์ทัล, มองหาการเปลี่ยน configuration ที่ไม่คาดคิด และตรวจร่องรอย post-exploitation เหตุผลคือการโจมตีสำเร็จสามารถให้ผู้โจมตีรันโค้ดระดับ root บนไฟร์วอลล์ได้ .

หน่วยงานรัฐบาลกลางสหรัฐฯ: จัดการเป็นเหตุฉุกเฉินตาม KEV

สำหรับทีมรัฐบาลกลางสหรัฐฯ ที่อยู่ภายใต้กระบวนการของ CISA KEV เรื่องนี้ไม่ใช่แค่ advisory จากผู้ขาย CISA คือหน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ ส่วน KEV เป็นบัญชีช่องโหว่ที่ทราบว่าถูกใช้โจมตีจริง ศูนย์ความมั่นคงไซเบอร์ของแคนาดารายงานว่า CISA เพิ่ม CVE-2026-0300 เข้า KEV catalog เมื่อวันที่ 6 พฤษภาคม 2026 และรายงานปัจจุบันระบุว่าหน่วยงานรัฐบาลกลางต้อง remediation ช่องโหว่ใน KEV ตาม BOD 22-01 .

ทีมที่อยู่ในกรอบนี้ควรเก็บหลักฐานให้ครบ: การค้นหา asset, การจำกัดหรือปิดพอร์ทัล, สถานะแพตช์, การยืนยัน fixed PAN-OS version, หลักฐานว่าไม่มีเส้นทางจากเครือข่ายที่ไม่เชื่อถือเหลืออยู่ และผลการประเมิน compromise สำหรับไฟร์วอลล์ที่เคยเปิด exposure.

ถ้ายังแพตช์ไม่ได้ทันที

ให้คง mitigation ไว้จนกว่าจะมีและติดตั้ง fixed release ที่ถูกต้องสำหรับ deployment นั้น หากธุรกิจยังต้องใช้ Captive Portal ให้จำกัดการเข้าถึงเฉพาะช่วง IP ภายในที่เชื่อถือได้และ monitor อย่างใกล้ชิด หากแพตช์ไม่ได้และจำกัดการเข้าถึงอย่างน่าเชื่อถือไม่ได้ ให้ isolate ไฟร์วอลล์จากทางเข้าที่ไม่เชื่อถือ หรือเอาบริการที่เปิดออกภายนอกออกจนกว่า remediation จะเสร็จ ความเสี่ยงที่เหลืออยู่คือการโจมตีผ่านเครือข่ายที่ไม่ต้องยืนยันตัวตน ทำอัตโนมัติได้ และมีรายงานการใช้โจมตีแล้ว .

ข้อผิดพลาดที่ไม่ควรทำ

• อย่ารอรอบ maintenance ปกติ หากพอร์ทัลเปิดถึงอินเทอร์เน็ตหรือเครือข่ายที่ไม่เชื่อถือ เพราะนี่คือ configuration ที่ advisory หลายแหล่งระบุว่าเสี่ยงสูงที่สุด .
• อย่าคิดว่าการจำกัดเป็น internal-only คือการแก้ถาวร มันช่วยลดความเสี่ยง แต่ระบบที่ได้รับผลกระทบยังต้องอัปเดตตามแนวทาง PAN-OS ที่เหมาะสม .
• อย่าใช้ fixed-version list จากบุคคลที่สามเป็นคำตอบสุดท้าย ให้ตรวจ advisory ของ Palo Alto เพื่อดูสถานะและคำแนะนำเวอร์ชันล่าสุดจากผู้ขาย .
• อย่าหยุดแค่แพตช์ หากไฟร์วอลล์เคยเปิด exposure ในช่วงที่มีการโจมตี ต้องทำ compromise review เพราะช่องโหว่นี้สามารถนำไปสู่การรันโค้ดด้วยสิทธิ์ root ได้ .

ท่าปลอดภัยขั้นต่ำจึงชัดเจน: เอาการเข้าถึง User-ID Authentication Portal จากเครือข่ายที่ไม่เชื่อถือออก, เดินตาม advisory ของ Palo Alto สำหรับการแพตช์ และตรวจสอบไฟร์วอลล์ที่เคยเปิด exposure ก่อนคืนสถานะ trust ตามปกติ .