CISA สั่งหน่วยงานรัฐบาลกลางสหรัฐฯ แก้ไขช่องโหว่ VPN Palo Alto ระดับวิกฤตที่กำลังถูกโจมตี ภายในวันนี้

การโจมตีนี้ไม่จำเป็นต้องมีปฏิสัมพันธ์จากผู้ใช้และไม่ต้องมีสิทธิ์ใดๆ บนระบบเป้าหมาย สามารถโจมตีได้ผ่านเครือข่ายด้วยความซับซ้อนในการโจมตีต่ำ ซึ่งเป็นสาเหตุที่ทำให้ได้รับการจัดอันดับเป็นภัยคุกคามระดับวิกฤตในที่สุด

การยกระดับความรุนแรงอย่างรวดเร็วจากระดับกลางสู่วิกฤต

เมื่อ Palo Alto Networks เผยแพร่คำแนะนำด้านความปลอดภัยครั้งแรกในวันที่ 13 พฤษภาคม 2026 พวกเขาจัดให้ CVE-2026-0257 เป็นช่องโหว่ความรุนแรงระดับกลางด้วยคะแนน CVSS 7.8 สำนักข่าวด้านความปลอดภัยหลายแห่งยังคงเผยแพร่การจัดอันดับดั้งเดิมนี้ต่อไป

อย่างไรก็ตาม การวิเคราะห์ใหม่โดย National Vulnerability Database (NVD) และตามด้วยหน่วยงานรัฐบาลอื่นๆ ได้ยกระดับคะแนนขึ้นอย่างมาก โดยมีผลตั้งแต่วันที่ 29 พฤษภาคม 2026 NVD ได้เพิ่มเติมข้อมูลและคะแนนอย่างเป็นทางการจากรัฐบาลถูกปรับขึ้นเป็น คะแนน CVSS v3.1 ระดับวิกฤตที่ 9.1 หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสิงคโปร์ (CSA) และฟีด CVE ต่างๆ ก็สะท้อนคะแนนวิกฤต 9.1 เช่นกัน ช่องว่างระหว่างการจัดอันดับเริ่มต้นของผู้ผลิตและการจัดอันดับสุดท้ายของรัฐบาลนี้คือรายละเอียดสำคัญที่ทำให้หลายองค์กรลดความสำคัญในการติดตั้งแพตช์ในช่วงสัปดาห์แรกๆ ของการโจมตี

เส้นเวลาการโจมตี: สองระลอกจากไอพีของ Vultr

เส้นเวลาจากการเปิดเผยข้อมูลจนถึงการถูกโจมตีจริงนั้นสั้นมาก ทีม Managed Detection and Response (MDR) ของ Rapid7 สังเกตเห็นการโจมตีที่ประสบความสำเร็จครั้งแรกเริ่มตั้งแต่วันที่ 17 พฤษภาคม เพียงสี่วันหลังจากมีการเผยแพร่คำแนะนำ ภายในวันที่ 29 พฤษภาคม CISA ได้เพิ่ม CVE-2026-0257 เข้าไปในแคตตาล็อกช่องโหว่ที่ถูกโจมตี (Known Exploited Vulnerabilities - KEV) และกำหนดเส้นตายการแก้ไขภาคบังคับสำหรับหน่วยงานรัฐบาลกลางสหรัฐฯ คือ วันที่ 1 มิถุนายน 2026

มีการยืนยันการโจมตีสองระลอกที่ชัดเจน ระลอกแรกมาจากโครงสร้างพื้นฐานที่โฮสต์โดย Vultr ในวันที่ 17-18 พฤษภาคม และระลอกที่สองตามมาจากโครงสร้างพื้นฐานของ Dromatics Systems ในวันที่ 21 พฤษภาคม การวิเคราะห์ข่าวกรองระบุว่ามีการใช้ MAC address เดียวกันในการโจมตีทั้งสองระลอก ซึ่งบ่งชี้ว่าเป็นผู้ไม่หวังดีรายเดียวกัน ในทุกกรณีที่ตรวจพบ ผู้โจมตีปลอมแปลงคุกกี้ลบล้างการยืนยันตัวตนเพื่อกำหนดเป้าหมายไปยัง บัญชีผู้ดูแลระบบท้องถิ่น (local administrator account) บนอุปกรณ์ที่ถูกบุกรุกโดยตรง

ที่สำคัญ แม้ว่า Rapid7 จะยืนยันว่าการเชื่อมต่อ VPN สำเร็จเกิดขึ้นกับลูกค้า MDR จำนวน 8 ใน 10 รายที่ได้รับผลกระทบ แต่ผู้ตรวจสอบยังไม่พบการเคลื่อนที่ในแนวราบ (lateral movement) ที่สำเร็จจากอุปกรณ์ที่ถูกบุกรุก รายละเอียดนี้ให้ช่วงเวลาสั้นๆ แต่สำคัญสำหรับฝ่ายป้องกันในการจำกัดการบุกรุกก่อนที่ผู้โจมตีจะเจาะลึกเข้าไปในเครือข่าย

โค้ดทดสอบช่องโหว่และผลิตภัณฑ์ที่ได้รับผลกระทบ

ความเสี่ยงทวีความรุนแรงขึ้นจากการที่โค้ดสำหรับการโจมตีถูกเผยแพร่สู่สาธารณะ รายงานข่าวกรองหลายฉบับยืนยันว่ามีโค้ดทดสอบช่องโหว่อย่างน้อยหนึ่งรายการ และมีแนวโน้มว่าจะมีหลายรายการในแหล่งเก็บข้อมูลสาธารณะ ซึ่งเป็นการลดอุปสรรคสำหรับการโจมตีเพิ่มเติม

ผลิตภัณฑ์ที่ได้รับผลกระทบมีการกำหนดไว้อย่างชัดเจน ช่องโหว่นี้ส่งผลกระทบต่อ PAN-OS เวอร์ชัน 10.2, 11.1, 11.2, และ 12.1 บนไฟร์วอลล์ PA-Series และ VM-Series รวมถึง Prisma Access ผลิตภัณฑ์สองกลุ่มหลักที่ไม่ได้รับผลกระทบอย่างชัดเจนคือ อุปกรณ์จัดการ Panorama และการใช้งาน Cloud NGFW (Next-Generation Firewall)

ขั้นตอนการบรรเทาและแก้ไขในทันที

Palo Alto Networks ได้ปล่อยแพตช์สำหรับเฟิร์มแวร์ทุกสาขาที่รองรับ เวอร์ชันซอฟต์แวร์ที่ได้รับการอัปเดตและมีตัวแก้ไขเป็นแพตช์เดียวกันกับที่ตอนนี้บังคับให้มีการปฏิเสธคุกกี้ปลอม

กลยุทธ์การบรรเทาที่ครอบคลุมที่สุดประกอบด้วยสี่ขั้นตอนเร่งด่วน

ประการแรก อัปเกรด PAN-OS เป็นเวอร์ชันล่าสุดที่ได้รับการแก้ไขสำหรับสาขาของคุณ รุ่นที่แก้ไขแล้วสำหรับ PAN-OS 12.1 รวมถึงเวอร์ชัน 12.1.4-h6 และ 12.1.7; สำหรับ 11.2 คือเวอร์ชัน 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 และ 11.2.12; และมีเวอร์ชันที่สอดคล้องกันสำหรับ 11.1 และ 10.2 ผู้เช่า Prisma Access ควรได้รับการอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วเช่นกัน

ประการที่สอง หากคุกกี้ลบล้างการยืนยันตัวตนไม่จำเป็นอย่างยิ่งต่อการดำเนินธุรกิจของคุณ ให้ปิดการใช้งานคุณสมบัตินั้นโดยสิ้นเชิง การทำเช่นนี้จะกำจัดเงื่อนไขเบื้องต้นของช่องโหว่ ไม่ใช่แค่การโจมตี

ประการที่สาม กำหนดค่าใหม่สำหรับการใช้งานใบรับรอง อย่าใช้ใบรับรองเดิมซ้ำสำหรับอินเทอร์เฟซการจัดการ HTTPS และการเข้ารหัสคุกกี้ GlobalProtect การใช้ใบรับรองเฉพาะสำหรับการเข้ารหัสคุกกี้จะตัดกลไกที่ใช้สร้างคุกกี้ปลอมที่ถูกต้อง

ประการที่สี่ เริ่มต้นการตรวจสอบบันทึกการใช้งานทันที มองหาเหตุการณ์การสร้างเซสชันที่ผิดปกติ การเชื่อมต่อจากไอพีที่ไม่คุ้นเคย โดยเฉพาะจากโครงสร้างพื้นฐานของผู้โจมตีที่รู้จัก เช่น ระบบอัตโนมัติ (ASN) ของ Vultr และการใช้คุกกี้ลบล้างการยืนยันตัวตนที่ไม่ได้คาดคิด ด้วยการที่ยังไม่มีการยืนยันการเคลื่อนที่ในแนวราบ การตรวจสอบบันทึกจึงเป็นเครื่องมือที่ดีที่สุดของคุณในขณะนี้ในการระบุว่ามีการบุกรุกเกิดขึ้นแล้วหรือไม่

กำหนดเส้นตายของ CISA ในวันที่ 1 มิถุนายนคือวันนี้ องค์กรที่ยังไม่ได้ใช้แพตช์เหล่านี้กำลังปฏิบัติการภายใต้การเปิดรับความเสี่ยงที่ได้รับการยืนยัน กำลังถูกโจมตี และมีความรุนแรงระดับวิกฤต หน้าต่างในการติดตั้งแพตช์เพื่อเป็นการป้องกันล่วงหน้า กำลังจะปิดลงและเปลี่ยนเป็นหน้าต่างสำหรับการสืบสวนทางนิติวิทยาศาสตร์