Lỗ hổng Authentication Bypass trong PAN-OS GlobalProtect (CVE-2026-0257) đang bị khai thác tích cực

Palo Alto Networks vừa đưa ra cảnh báo về một lỗ hổng bảo mật mức độ trung bình ảnh hưởng đến PAN-OS và Prisma Access hiện đang bị khai thác tích cực. Lỗ hổng CVE-2026-0257 (CVSS: 7.8) cho phép kẻ tấn công vượt qua xác thực để thiết lập kết nối VPN trái phép vào mạng nội bộ.
Palo Alto Networks PAN-OS Security Alert

Palo Alto Networks đã đưa ra cảnh báo rằng một lỗ hổng bảo mật mức độ trung bình mới được tiết lộ gần đây ảnh hưởng đến PAN-OS và Prisma Access đang bị khai thác tích cực trong thực tế.

Lỗ hổng này, được theo dõi với mã hiệu CVE-2026-0257 (điểm CVSS: 7.8), liên quan đến lỗi authentication bypass (vượt qua xác thực) mà kẻ xấu có thể lợi dụng để thiết lập các kết nối VPN trái phép.

"Các lỗ hổng authentication bypass trong cổng thông tin GlobalProtect portal và gateway của phần mềm Palo Alto Networks PAN-OS® cho phép kẻ tấn công vượt qua các hạn chế bảo mật và thiết lập kết nối VPN trái phép," Palo Alto Networks cho biết trong một bản tin tư vấn phát hành ngày 13 tháng 5 năm 2026.

Công ty an ninh mạng này giải thích rằng vấn đề này ảnh hưởng cụ thể đến các tường lửa đã cấu hình GlobalProtect portal hoặc gateway khi tính năng cookie ghi đè xác thực (authentication override cookies) được bật và tồn tại một cấu hình chứng chỉ cụ thể.

Trong bản cập nhật tư vấn vào ngày 29 tháng 5 năm 2026, Palo Alto Networks cho biết họ đã "ghi nhận các nỗ lực khai thác hạn chế trên các thiết bị PAN-OS chưa được vá lỗi và chưa áp dụng các biện pháp giảm thiểu."

Diễn biến này xảy ra sau khi Rapid7 tiết lộ rằng họ đã xác định được việc khai thác thành công trên nhiều khách hàng, với những nỗ lực sớm nhất bắt đầu từ ngày 17 tháng 5 năm 2026, tiếp theo là làn sóng thứ hai vào ngày 21 tháng 5. Cả hai đợt tấn công này đều được đánh giá là do cùng một nhóm đe dọa thực hiện.

Hoạt động được quan sát trong làn sóng thứ hai bao gồm việc cấp phát địa chỉ IP VPN sau khi xác thực cookie trong hai trường hợp, giúp kẻ tấn công truy cập vào mạng nội bộ. Nhà cung cấp giải pháp an ninh mạng cho biết thêm rằng hiện chưa thấy hoạt động leo thang nào khác trong môi trường của khách hàng nơi phiên VPN đã được thiết lập.

"Lỗi authentication bypass trong một thiết bị VPN doanh nghiệp hướng ra internet có thể gây ra tác động nghiêm trọng cho các tổ chức bị ảnh hưởng," Rapid7 nhận định. "Vì vậy, các tổ chức đang vận hành các thiết bị bị ảnh hưởng được khuyến cáo khẩn trương nâng cấp lên bản vá do nhà cung cấp cung cấp."

Để giảm thiểu rủi ro tạm thời, người dùng được khuyến nghị tắt tính năng authentication override hoặc tạo một chứng chỉ mới dành riêng cho tính năng này.

Việc khai thác CVE-2026-0257 diễn ra ngay sau báo cáo từ Arctic Wolf về việc tiếp tục vũ khí hóa một lỗ hổng bảo mật nghiêm trọng đã được vá ảnh hưởng đến FortiClient Endpoint Management Server (EMS) (CVE-2026-35616, điểm CVSS: 9.1) để phát tán mã độc đánh cắp thông tin có tên EKZ Infostealer.

Cập nhật

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2026-0257 vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), đồng thời yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải khắc phục lỗ hổng này trước ngày 1 tháng 6 năm 2026.