Palo Alto Networks cảnh báo về việc khai thác tích cực lỗ hổng VPN PAN-OS GlobalProtect

Palo Alto Networks đã tiết lộ rằng họ đã quan sát thấy "việc khai thác tích cực" một lỗ hổng PAN-OS mới được công bố bởi một tác nhân đe dọa không xác định nhằm truy cập trái phép vào các cổng GlobalProtect. Lỗ hổng được đề cập là CVE-2026-0257 (điểm CVSS: 7.8), một lỗi bỏ qua xác thực ảnh hưởng đến các thành phần portal và gateway của phần mềm PAN-OS có thể bị các tác nhân xấu khai thác để thiết lập kết nối VPN.
Lỗ hổng VPN của Palo Alto Networks

Palo Alto Networks đã tiết lộ rằng họ đã quan sát thấy "việc khai thác tích cực" một lỗ hổng PAN-OS mới được công bố bởi một tác nhân đe dọa không xác định nhằm truy cập trái phép vào các cổng GlobalProtect.

Lỗ hổng đang được đề cập là CVE-2026-0257 (điểm CVSS: 7.8), một lỗi bỏ qua xác thực ảnh hưởng đến các thành phần portal và gateway của phần mềm PAN-OS, có thể bị các tác nhân xấu khai thác để thiết lập kết nối VPN.

Theo công ty an ninh mạng này, lỗi bảo mật có thể bị kẻ xấu lợi dụng để vượt qua các biện pháp kiểm soát an ninh và khởi tạo các kết nối VPN.

Lỗ hổng đã bị khai thác thực tế trong các cuộc tấn công hạn chế, với hoạt động ban đầu được ghi nhận vào ngày 17 tháng 5 năm 2026. Hiện chưa rõ ai đứng sau các nỗ lực khai thác này.

"Cho đến thời điểm hiện tại, chưa có hành vi xâm nhập sâu hơn hoặc di chuyển ngang (lateral movement) nào được xác định," Palo Alto Networks cho biết. "Chỉ một phần nhỏ các thiết bị bị thăm dò thực sự thiết lập được các phiên VPN, dẫn đến các sự kiện kết nối qua gateway."

Các chỉ số thỏa hiệp (IoCs)

Công ty cũng đã công bố các chỉ số thỏa hiệp (IoCs) liên quan đến hoạt động này:

  • Địa chỉ IP:
    • 23.128.228[.]6
    • 104.207.144[.]154
    • 146.19.216[.]119
    • 146.19.216[.]120
    • 146.19.216[.]125
    • 179.43.172[.]213
    • 185.195.232[.]139
    • 198.12.106[.]60
    • 202.144.192[.]47
  • Host Names và địa chỉ MAC:
    • aa:bb:cc:dd:ee:ff
    • 00:11:22:33:44:55
    • WINDOWS-LAPTOP-001
    • DESKTOP-GP01
    • GP-CLIENT

Palo Alto Networks cũng đang kêu gọi khách hàng tìm kiếm trong nhật ký GlobalProtect các sự kiện kết nối gateway thành công khớp với các giá trị cấu hình máy khách được mã hóa cứng sau đây từ một bản khai thác thử nghiệm (PoC):

  • endpoint_os_version : Microsoft Windows 10 Pro 64-bit
  • source_user_info.domain : trống (empty)

Vào cuối tháng trước, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CSIA) đã thêm CVE-2026-0257 vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải khắc phục lỗ hổng này trước ngày 1 tháng 6 năm 2026.