CVE-2026-0300: Quản trị viên PAN-OS cần làm gì ngay lúc này

“Quy mô hạn chế” không đồng nghĩa với “có thể chờ”. Center for Internet Security cho biết hoạt động khai thác nhắm vào các User-ID Authentication Portal bị mở ra địa chỉ IP không tin cậy hoặc internet công cộng; khách hàng chỉ cho phép truy cập các portal nhạy cảm từ mạng nội bộ tin cậy sẽ giảm đáng kể rủi ro . Unit 42 cũng nhận định nguy cơ RCE chưa xác thực tăng mạnh khi portal này phơi ra internet hoặc mạng không tin cậy .

Những hệ thống cần rà soát trước

Ưu tiên kiểm tra các firewall Palo Alto Networks PA-Series và VM-Series chạy PAN-OS có bật User-ID Authentication Portal/Captive Portal . Theo thông tin công khai về cách Palo Alto chấm điểm, lỗ hổng có điểm CVSS 9.3 khi portal được cấu hình cho phép truy cập từ internet hoặc mạng không tin cậy; nếu chỉ giới hạn cho IP nội bộ tin cậy, điểm giảm còn 8.7 . Nhưng “giảm rủi ro” không phải là “đã khắc phục”: các hệ thống bị ảnh hưởng vẫn cần đi theo lộ trình cập nhật do nhà cung cấp khuyến nghị .

Unit 42 cho biết Prisma Access, Cloud NGFW và thiết bị Panorama không bị ảnh hưởng bởi lỗ hổng này . Thông tin đó giúp thu hẹp phạm vi xử lý, nhưng không thay thế việc kiểm kê toàn bộ PA-Series và VM-Series, đặc biệt ở những môi trường từng để Captive Portal truy cập được từ IP không tin cậy .

Kế hoạch hành động cho quản trị viên PAN-OS

1. Lập danh sách mọi nơi đang bật User-ID Authentication Portal

Hãy kiểm kê firewall PAN-OS và xác định thiết bị PA-Series hoặc VM-Series nào đang bật User-ID Authentication Portal/Captive Portal . Với từng thiết bị, ghi rõ portal có thể truy cập từ internet, từ mạng không tin cậy hay chỉ từ dải IP nội bộ tin cậy. Nếu có đường truy cập từ internet hoặc mạng không tin cậy, hãy đưa thiết bị đó vào nhóm xử lý khẩn cấp vì đây là cấu hình làm tăng rủi ro khai thác .

2. Giới hạn hoặc tắt portal ngay

Cấu hình lại để User-ID Authentication Portal chỉ nhận truy cập từ mạng nội bộ tin cậy. Nếu không thể kiểm soát chắc chắn, hãy tắt portal cho đến khi thiết bị được xử lý. Cơ quan An ninh mạng Singapore khuyến nghị người dùng và quản trị viên của các phiên bản bị ảnh hưởng giới hạn hoặc vô hiệu hóa truy cập portal cho đến khi có bản cập nhật bảo mật .

3. Vá theo advisory của Palo Alto, không theo bảng phiên bản sao chép

CERT-EU khuyến nghị cập nhật các thiết bị bị ảnh hưởng ngay khi bản vá sẵn sàng, đồng thời áp dụng biện pháp giảm thiểu trong thời gian chờ . Nguồn chuẩn để kiểm tra phiên bản bị ảnh hưởng và phiên bản đã sửa là advisory CVE-2026-0300 của Palo Alto Networks cho từng nhánh PAN-OS trong môi trường của bạn .

4. Sau khi vá, kiểm tra lại đường phơi nhiễm

Đừng mặc định rằng cập nhật phần mềm là đủ. Sau khi vá, cần xác nhận User-ID Authentication Portal không còn truy cập được từ internet công cộng hoặc mạng không tin cậy, trừ khi có yêu cầu nghiệp vụ được phê duyệt và có kiểm soát bù trừ. Việc chỉ cho phép portal nhạy cảm truy cập từ mạng nội bộ tin cậy được mô tả là tư thế vận hành tốt giúp giảm rủi ro đáng kể .

5. Điều tra mọi firewall từng bị phơi ra mạng không tin cậy

Bất kỳ firewall bị ảnh hưởng nào từng mở portal ra mạng không tin cậy đều nên được đánh giá xâm nhập trước khi khôi phục mức tin cậy bình thường. Cần bảo toàn log, rà soát lưu lượng đến portal, kiểm tra thay đổi cấu hình bất thường và tìm dấu hiệu hoạt động sau khai thác. Lý do rất rõ: khai thác thành công có thể cho phép thực thi mã chưa xác thực với quyền root trên firewall .

Với cơ quan liên bang Mỹ: đây là việc theo KEV, không chỉ là advisory của hãng

Đối với các đội vận hành thuộc cơ quan liên bang Mỹ nằm trong phạm vi quy trình của CISA, CVE-2026-0300 không chỉ là một khuyến cáo từ nhà cung cấp. Trung tâm An ninh mạng Canada cho biết CISA đã đưa lỗ hổng này vào danh mục KEV ngày 6/5/2026 , và các báo cáo hiện tại nêu rằng cơ quan liên bang được yêu cầu khắc phục các lỗ hổng trong KEV theo BOD 22-01 .

Nhóm vận hành nên lưu bằng chứng cho toàn bộ chuỗi xử lý: phát hiện tài sản, giới hạn hoặc tắt portal, trạng thái vá, xác nhận phiên bản PAN-OS đã sửa, bằng chứng không còn đường truy cập từ mạng không tin cậy và kết quả đánh giá xâm nhập với mọi firewall từng bị exposed.

Nếu chưa thể vá ngay

Giữ biện pháp giảm thiểu cho đến khi đúng bản phát hành đã sửa sẵn sàng và được cài đặt cho môi trường bị ảnh hưởng. Nếu nghiệp vụ không thể tắt Captive Portal, hãy giới hạn truy cập vào các dải IP nội bộ tin cậy và giám sát chặt. Nếu không thể vá cũng không thể giới hạn đáng tin cậy, hãy cô lập firewall khỏi truy cập không tin cậy hoặc gỡ dịch vụ đang phơi ra cho đến khi hoàn tất khắc phục. Phơi nhiễm còn lại là loại có thể truy cập qua mạng, không cần xác thực, có thể tự động hóa và đã được báo cáo là bị khai thác .

Những sai lầm cần tránh

• Đừng chờ lịch bảo trì định kỳ nếu portal đang mở ra internet hoặc mạng không tin cậy; đây là cấu hình rủi ro cao nhất được các khuyến cáo hiện có mô tả .
• Đừng xem việc giới hạn nội bộ là bản vá vĩnh viễn. Cách này giảm rủi ro, nhưng thiết bị bị ảnh hưởng vẫn cần đi theo lộ trình khắc phục PAN-OS phù hợp .
• Đừng lấy bảng “fixed version” từ bên thứ ba làm nguồn cuối cùng. Hãy dùng advisory của Palo Alto để xác nhận trạng thái và hướng dẫn phiên bản mới nhất .
• Đừng dừng lại ở việc vá nếu firewall từng phơi ra trong giai đoạn có khai thác. Cần hoàn tất rà soát xâm nhập vì lỗi có thể cho phép thực thi mã với quyền root .

Tư thế tối thiểu an toàn lúc này là: cắt mọi truy cập không tin cậy tới User-ID Authentication Portal, vá theo advisory của Palo Alto và điều tra bất kỳ firewall nào từng bị phơi ra trước khi đưa trở lại trạng thái tin cậy bình thường .