Palo Alto Networks เปิดเผยการตรวจพบช่องโหว่ระดับ Critical ประเภท Buffer Overflow ในซอฟต์แวร์ PAN-OS โดยมีหมายเลข CVE-2026-0300 และมีคะแนน CVSS 4.0 อยู่ที่ 9.3 (Critical) และพบว่ามีการถูกนำไปใช้ในการโจมตีจริงในวงกว้างแล้ว
ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดอันตรายใด ๆ ด้วยสิทธิ์ระดับ Root ซึ่งส่งผลกระทบต่อ Firewall ตระกูล PA-Series และ VM-Series โดยไม่ต้องล็อกอิน ไม่ต้องมีการโต้ตอบจากผู้ใช้ และไม่จำเป็นต้องมีเงื่อนไขพิเศษใด ๆ ในการโจมตี
ช่องโหว่นี้อยู่ใน service User-ID™ Authentication Portal หรือที่รู้จักในชื่อ Captive Portal ของระบบปฏิบัติการ PAN-OS โดยผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถส่งแพ็กเกจที่ปรับแต่งมาเป็นพิเศษ เพื่อทำให้เกิด out-of-bounds write (CWE-787) ส่งผลให้เกิดภาวะ Buffer Overflow ซึ่งนำไปสู่การรันโค้ดในระดับ Root บน Firewall เป้าหมายได้ในที่สุด
ด้วยช่องทางการโจมตีผ่านเครือข่ายที่ไม่มีความซับซ้อนในการโจมตี และไม่จำเป็นต้องมีสิทธิ์พิเศษใด ๆ ในการเข้าถึง ทำให้ช่องโหว่นี้สามารถถูกสั่งการให้ทำงานแบบอัตโนมัติได้ทั้งหมด ส่งผลให้เป็นเครื่องมือที่เหมาะสมสำหรับการทำแคมเปญโจมตีเป้าหมายจำนวนมากในวงกว้าง
ระดับความรุนแรงของการโจมตีถูกจัดอยู่ในระดับ "ATTACKED" โดยทาง Palo Alto Networks ยืนยันว่าพบการโจมตีจริงในวงจำกัดแล้ว ซึ่งมุ่งเป้าไปที่ Authentication Portal ที่เปิดให้เข้าถึงได้จาก IP ที่ไม่น่าเชื่อถือ และจากอินเทอร์เน็ต
ผลิตภัณฑ์ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อ PAN-OS หลายเวอร์ชันใน PA-Series Firewall และ VM-Series Firewall โดยเวอร์ชันที่มีความเสี่ยง ได้แก่:
- PAN-OS 10.2: เวอร์ชันต่ำกว่า 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 และ 10.2.18-h6
- PAN-OS 11.1: เวอร์ชันต่ำกว่า 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 และ 11.1.15
- PAN-OS 11.2: เวอร์ชันต่ำกว่า 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 และ 11.2.12
- PAN-OS 12.1: เวอร์ชันต่ำกว่า 12.1.4-h5 และ 12.1.7
โดยผลิตภัณฑ์ Prisma Access, Cloud NGFW และอุปกรณ์ Panorama ไม่ได้รับผลกระทบจากช่องโหว่นี้ ซึ่งช่องโหว่ดังกล่าวจะมีผลเฉพาะกับ Firewall ที่มีการเปิดใช้งาน User-ID™ Authentication Portal และเปิดให้เข้าถึงได้จากเครือข่ายที่ไม่น่าเชื่อถือ และจากอินเทอร์เน็ต
หากโจมตีสำเร็จจะส่งผลกระทบรุนแรงต่อตัวผลิตภัณฑ์ ทำให้ผู้โจมตีสามารถควบคุม Firewall เป้าหมายได้อย่างสมบูรณ์ ซึ่งระดับความเสี่ยงนี้มีความน่ากังวลอย่างยิ่ง เมื่อพิจารณาจาก Value Density ของ Firewall ระดับองค์กร ซึ่งทำหน้าที่เป็นจุดยุทธศาสตร์ที่สำคัญที่สุดของเครือข่าย (Critical Network Chokepoints)
การที่ Firewall ด่านหน้าถูกเจาะระบบ อาจทำให้ผู้โจมตีทำการโจมตีต่อไปยังระบบภายใน, ดักจับข้อมูล, ขโมยบัญชีผู้ใช้ และรหัสผ่าน และนำไปสู่การยึดระบบเครือข่ายทั้งหมดได้ในที่สุด
Palo Alto Networks ยืนยันว่าการปล่อยแพตซ์จะเริ่มทยอยออกมาในช่วงวันที่ 13 พฤษภาคมถึง 28 พฤษภาคม 2026 ขึ้นอยู่กับเวอร์ชันของ PAN-OS จนกว่าจะมีการติดตั้งแพตซ์ และในระหว่างที่รอการติดตั้งแพตช์ ทาง Palo Alto แนะนำให้ผู้ดูแลระบบดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้โดยทันที:
- จำกัดการเข้าถึง Authentication Portal ให้เฉพาะหมายเลข IP ภายในที่เชื่อถือได้เท่านั้น โดยให้ปฏิบัติตามแนวทางมาตรฐานความปลอดภัยของ Palo Alto
- ปิดการใช้งาน User-ID™ Authentication Portal โดยเด็ดขาด หากไม่มีความจำเป็นต่อการปฏิบัติงาน
- สำหรับองค์กรที่มี License Threat Prevention อยู่ มีการปล่อย Signature สำหรับระบบ Threat Prevention (สำหรับ PAN-OS เวอร์ชัน 11.1 ขึ้นไป) ออกมาแล้วเมื่อวันที่ 5 พฤษภาคม 2026 เพื่อช่วยตรวจจับ และบล็อกการโจมตี
โดยทีมรักษาความปลอดภัยควรดำเนินการตรวจสอบการตั้งค่า PAN-OS ทันที โดยเข้าไปที่เมนู Device > User Identification > Authentication Portal Settings เพื่อตรวจสอบว่ามีการเปิดใช้งานที่นำไปสู่ความเสี่ยงดังกล่าวหรือไม่
Portal ใดก็ตามที่สามารถเข้าถึงได้จากอินเทอร์เน็ต หรือโซนที่ไม่น่าเชื่อถือ ควรเร่งดำเนินการแก้ไขฉุกเฉินตามคำแนะนำของ Paloalto เนื่องจากได้รับการยืนยันแล้วว่าพบการโจมตีจริงจากช่องโหว่แล้ว CVE-2026-0300 ในขณะนี้
ที่มา : Cybersecuritynews
You must be logged in to post a comment.