Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ hổng nghiêm trọng trong PAN-OS cho phép tin tặc khai thác thực thi mã từ xa

Updated
8 min read
Lỗ hổng nghiêm trọng trong PAN-OS cho phép tin tặc khai thác thực thi mã từ xa
M
Mai Đức Nam Anh

Vừa qua hãng Palo Alto Networks đã công bố và xác nhận một lỗ hổng zero-day cực kỳ nghiêm trọng trong PAN-OS đang bị khai thác tích cực trong thực tế, cho phép kẻ tấn công từ xa chưa qua xác thực thực thi mã tùy ý với quyền root trên tường lửa PA-Series và VM-Series. Đặc biệt nghiêm trọng hơn, nhóm nghiên cứu Unit 42 của hãng xác định các cuộc tấn công đã bắt đầu từ ngày 9 tháng 4 năm 2026 , tức khoảng một tháng trước khi có thông báo công khai, được quy cho một nhóm tin tặc do chính phủ bảo trợ.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2026-0300

  • Điểm CVSS (3.1): 9.8

  • Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng

  • Mô tả: Lỗ hổng tràn bộ nhớ đệm (buffer overflow – CWE-787: Out-of-bounds Write) trong dịch vụ User-ID Authentication Portal (còn gọi là Captive Portal) của PAN-OS. Kẻ tấn công từ xa chưa qua xác thực có thể gửi các gói tin được chế tạo đặc biệt để kích hoạt tràn bộ đệm và thực thi mã tùy ý với quyền root trên thiết bị. Lỗ hổng đặc biệt nguy hiểm khi User-ID Authentication Portal có thể truy cập ra ngoài internet.

  • Phiên bản bị ảnh hưởng:

Sản phẩm Phiên bản bị ảnh hưởng Phiên bản vá
PAN-OS 12.1 < 12.1.4-h5, < 12.1.7 ≥ 12.1.4-h5, ≥ 12.1.7
PAN-OS 11.2 < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12 Theo từng nhánh tương ứng
PAN-OS 11.1 < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15 Theo từng nhánh tương ứng
PAN-OS 10.2 < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6 Theo từng nhánh tương ứng

PAN-OS là hệ điều hành chạy trên toàn bộ dòng tường lửa thế hệ mới (Next-Generation Firewall – NGFW) của Palo Alto Networks, bao gồm thiết bị phần cứng PA-Series và máy ảo VM-Series. Đây là một trong những nền tảng bảo mật mạng được triển khai rộng rãi nhất trong môi trường doanh nghiệp và hạ tầng chính phủ toàn cầu, đảm nhận vai trò kiểm soát và lọc toàn bộ lưu lượng mạng ra vào tổ chức.

User-ID Authentication Portal (Captive Portal) là một tính năng của PAN-OS cho phép xác thực người dùng thông qua giao diện web trước khi cấp quyền truy cập mạng – thường được sử dụng trong các môi trường có nhiều người dùng chia sẻ mạng như văn phòng, trường học hay không gian làm việc công cộng. Khi tính năng này được bật và có thể truy cập từ các mạng không tin cậy hoặc internet, bề mặt tấn công của CVE-2026-0300 được kích hoạt hoàn toàn.

Lỗi buffer overflow (CWE-787: Out-of-bounds Write) xảy ra khi một chương trình ghi dữ liệu vượt ra ngoài vùng bộ nhớ đã được cấp phát, can thiệp vào các vùng nhớ lân cận. Trong trường hợp CVE-2026-0300, dịch vụ User-ID Authentication Portal xử lý các gói tin đến mà không kiểm tra đầy đủ kích thước dữ liệu đầu vào, tạo ra điều kiện để kẻ tấn công chế tạo gói tin đặc biệt nhằm ghi đè bộ nhớ theo cách kiểm soát được.

Do dịch vụ Captive Portal chạy trong tiến trình nginx worker với quyền root, kẻ tấn công có thể lợi dụng lỗi này để tiêm shellcode trực tiếp vào tiến trình nginx đang chạy – từ đó giành quyền thực thi mã tùy ý với đặc quyền cao nhất trên thiết bị tường lửa mà không cần bất kỳ thông tin xác thực nào.

Theo dữ liệu trực tiếp từ chiến dịch tấn công CL-STA-1132, sau khi khai thác thành công CVE-2026-0300, nhóm tác nhân đã thực hiện các bước hậu khai thác tinh vi:

  • Triển khai công cụ đường hầm (tunneling): Kẻ tấn công tải xuống và triển khai EarthWorm và ReverseSocks5 – hai công cụ mã nguồn mở được sử dụng để thiết lập kênh liên lạc ngầm và proxy ngược duy trì truy cập lâu dài vào hệ thống bị xâm phạm, kể cả khi tường lửa được vá sau đó.

  • Thu thập thông tin xác thực và liệt kê Active Directory: Kẻ tấn công sử dụng thông tin xác thực được thu thập trực tiếp từ tường lửa để tiến hành liệt kê môi trường Active Directory của nạn nhân. Đây là bước chuẩn bị cho các cuộc tấn công di chuyển ngang (lateral movement) sâu hơn vào hạ tầng nội bộ.

  • Xóa log và bằng chứng xâm phạm: Nhóm tác nhân chủ động phá hủy log hệ thống và các bằng chứng kỹ thuật số để che giấu dấu vết, gây khó khăn cho quá trình điều tra ứng phó sự cố.

Unit 42 của Palo Alto Networks đang theo dõi chiến dịch này dưới định danh CL-STA-1132 – một chuỗi các tấn công từ nhóm tin tặc nhiều khả năng được chính phủ quốc gia bảo trợ. Các chiến thuật được sử dụng đều có sự tương ứng nhất định với các nhóm APT của Trung Quốc như Volt Typhoon và APT41. Mốc thời gian của chiến dịch cho thấy tính chất có chủ đích và bài bản: bắt đầu từ ngày 9/4/2026 với các lần thử nghiệm khai thác không thành công, đến ngày 16/4/2026 đạt được RCE thành công và tiêm shellcode, sau đó tiếp tục diễn ra cho đến khi được phát hiện và công bố vào ngày 6/5/2026 – tổng cộng khoảng gần một tháng khai thác không bị phát hiện.

Thống kê từ tổ chức theo dõi mối đe dọa Internet Shadowserver cho biết, hiện đang có hơn 5.400 tường lửa PAN-OS dòng VM-series có thể là mục tiêu bị khai thác bởi lỗ hổng này do chúng hoạt động công khai trên Internet, phần lớn trong số đó nằm ở châu Á (2.466) và Bắc Mỹ (1.998).

CISA đã bổ sung CVE-2026-0300 vào danh mục Known Exploited Vulnerabilities (KEV) ngay trong ngày 6/5/2026, yêu cầu các cơ quan chính phủ liên bang Hoa Kỳ áp dụng biện pháp giảm thiểu trước ngày 9/5/2026.

Khắc phục & Khuyến nghị

CVE-2026-0300 đang bị khai thác tích cực bởi các nhóm tin tặc được chính phủ quốc gia bảo trợ, nhắm vào tường lửa bảo vệ hạ tầng mạng trọng yếu. Mức độ kiểm soát hoàn toàn mà kẻ tấn công có thể đạt được trên thiết bị tường lửa, kết hợp với khả năng xóa dấu vết, gây khó khăn trong việc suy soát các mối nguy khai thác lỗ hổng này đặt ra yêu cầu phản ứng khắc phục khẩn cấp. Đội ngũ FPT Threat Intelligence khuyến nghị:

  • Hạn chế truy cập User-ID Authentication Portal ngay lập tức: Đây là biện pháp ưu tiên số một trong khi chờ bản vá. Cấu hình để chỉ cho phép các IP nội bộ tin cậy truy cập Captive Portal; không để portal này có thể truy cập từ internet hoặc mạng không tin cậy. Ngoài ra, vô hiệu hóa Response Pages trong Interface Management Profile trên tất cả giao diện L3 ở zone có lưu lượng không tin cậy.

  • Cập nhật bản vá ngay khi có sẵn: Áp dụng các phiên bản vá tương ứng theo bảng phiên bản ở trên. Ưu tiên các phiên bản có ETA sớm nhất.

  • Kiểm tra dấu hiệu xâm phạm: Rà soát log tường lửa tìm kiếm các hoạt động bất thường từ ngày 9/4/2026 đến nay, đặc biệt là các kết nối outbound bất thường, sự hiện diện của công cụ EarthWorm hoặc ReverseSocks5, các truy vấn LDAP/AD bất thường từ thiết bị tường lửa, và dấu hiệu log bị xóa hoặc thiếu trong khoảng thời gian này.

  • Triển khai phát hiện hành vi trên thiết bị mạng biên: Lỗ hổng này thuộc xu hướng các nhóm APT nhắm vào thiết bị mạng biên (edge device) vốn thường thiếu coverage từ các công cụ EDR truyền thống. Cần đảm bảo management plane của tường lửa nằm trong phạm vi giám sát, với cảnh báo cho các kết nối outbound bất thường từ chính thiết bị tường lửa.

Tham khảo

  1. CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID™ Authentication Portal
#threat-intelligence#pan-os

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

801 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.