CVE-2026-0257: Lỗ Hổng Bỏ Qua Xác Thực VPN GlobalProtect Của Palo Alto Networks Đang Bị Khai Thác Tích Cực

Khi đó, kẻ tấn công có thể khai thác chứng chỉ số bị chia sẻ này để tạo ra các cookie phiên làm việc giả mạo hoàn toàn hợp lệ. Bằng cách phát lại (replay) các cookie giả mạo này, chúng có thể đánh lừa hệ thống, chiếm quyền truy cập VPN mà không cần tài khoản hay mật khẩu .

Hãy hình dung, bạn đang dùng chung một chiếc chìa khóa để mở cả cửa chính và một cánh cửa phụ ít được bảo vệ. Một khi kẻ gian có được bản sao của chiếc chìa này từ cửa phụ, chúng có thể ung dung mở cửa chính và vào nhà bạn.

Công ty an ninh mạng Rapid7 đã ghi nhận việc khai thác thành công trên nhiều khách hàng, nơi các thiết bị tường lửa chấp nhận các cookie xác thực giả mạo .

Mức Độ Nghiêm Trọng Bị Leo Thang Lên "Cực Kỳ Nguy Hiểm"

Đây là một chi tiết quan trọng mà nhiều báo cáo ban đầu đã bỏ lỡ.

• Ban đầu, Palo Alto Networks tự đánh giá lỗ hổng này ở mức Trung Bình (Medium) với điểm CVSS là 7.8 .
• Tuy nhiên, vào ngày 29 tháng 5 năm 2026, Cơ sở dữ liệu lỗ hổng quốc gia Hoa Kỳ (NVD) sau khi phân tích lại đã leo thang mức độ nghiêm trọng của nó lên Nghiêm Trọng (Critical) với điểm CVSS v3.1 là 9.1 .

Sự khác biệt này là rất lớn. Điểm 9.1 phản ánh một lỗ hổng có mức độ tàn phá cao, dễ khai thác và cần được ưu tiên xử lý khẩn cấp. Các cơ quan chính phủ khác như Cơ quan An ninh mạng Singapore (CSA) cũng đã cập nhật theo điểm số 9.1 mới này .

Tình Trạng Bị Khai Thác và Các Chiến Dịch Tấn Công

Đây không còn là một nguy cơ trên lý thuyết. Lỗ hổng CVE-2026-0257 đã và đang bị khai thác tích cực trên thực tế .

• Thời điểm bắt đầu: Các cuộc tấn công đã được quan sát thấy từ ngày 17 tháng 5 năm 2026 . Rapid7 ghi nhận hai đợt tấn công riêng biệt, với cơ sở hạ tầng của kẻ tấn công được đặt trên nền tảng Vultr .
• Mục tiêu chính: Kẻ tấn công nhắm vào các tài khoản quản trị viên cục bộ (local administrator) trên thiết bị . Một khi chiếm được quyền quản trị, chúng có thể làm chủ hoàn toàn tường lửa.
• Động thái từ chính phủ Hoa Kỳ: Ngày 29 tháng 5, CISA (Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ) đã chính thức đưa CVE-2026-0257 vào danh mục Các Lỗ Hổng Đã Bị Khai Thác (KEV) và đặt ra hạn chót yêu cầu vá lỗi là ngày 1 tháng 6 năm 2026 - tức là hôm nay .
• Bằng chứng công khai: Mã khai thác dạng PoC (Proof-of-Concept) cho lỗ hổng này đã xuất hiện công khai trên các nền tảng như GitHub, làm tăng đáng kể nguy cơ bị tấn công trên diện rộng .

Các Phiên Bản Bị Ảnh Hưởng

Nếu doanh nghiệp của bạn đang sử dụng các sản phẩm tường lửa Palo Alto Networks, hãy kiểm tra ngay lập tức. Các phiên bản bị ảnh hưởng bao gồm:

• PAN-OS: Các phiên bản 10.2, 11.1, 11.2, và 12.1 trên các dòng phần cứng PA-Series và ảo hóa VM-Series .
• Prisma Access: Nền tảng bảo mật đám mây này cũng nằm trong diện bị ảnh hưởng .

Các sản phẩm Panorama và Cloud NGFW KHÔNG bị ảnh hưởng .

Kế Hoạch Hành Động Khẩn Cấp Cho Doanh Nghiệp

Thời gian là điều cốt yếu. Dưới đây là các bước cần thực hiện ngay lập tức để bảo vệ hệ thống của bạn:

1. Cập Nhật Ngay Lập Tức: Đây là biện pháp quan trọng nhất. Hãy nâng cấp phần mềm PAN-OS lên các phiên bản đã được vá lỗi mới nhất, ví dụ như: 12.1.4-h6/12.1.7, 11.2.4-h17/11.2.7-h14/11.2.10-h7/11.2.12, và các bản vá tương ứng cho nhánh 11.1 và 10.2 .
2. Tắt Tính Năng Không Thiết Yếu: Nếu doanh nghiệp bạn không thực sự cần đến tính năng "authentication override" cho hoạt động nghiệp vụ, hãy vô hiệu hóa nó ngay .
3. Thay Đổi Cấu Hình Chứng Chỉ Số: Tuyệt đối không tái sử dụng chứng chỉ số của giao diện quản trị HTTPS cho mục đích mã hóa cookie. Hãy sử dụng một chứng chỉ số chuyên biệt .
4. Rà Soát và Kiểm Tra Nhật Ký: Kiểm tra ngay nhật ký VPN, tìm kiếm các dấu hiệu bất thường như các phiên kết nối mới đáng ngờ, việc sử dụng cookie xác thực ủy quyền không mong muốn, và các kết nối đến từ những địa chỉ IP lạ .