Palo Alto Networks แจ้งเตือนว่าช่องโหว่ความปลอดภัยระดับความรุนแรงปานกลาง ที่เพิ่งถูกรายงานใน PAN-OS และ Prisma Access กำลังถูกนำมาใช้ในการโจมตีแล้ว
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-0257 (คะแนน CVSS: 7.8) เป็นช่องโหว่ Authentication Bypass ซึ่งแฮ็กเกอร์สามารถใช้ช่องทางดังกล่าวเพื่อเชื่อมต่อ VPN เข้าสู่ระบบได้
Palo Alto Networks เผยแพร่ข้อมูลเมื่อวันที่ 13 พฤษภาคม 2026 ว่า "ช่องโหว่ Authentication Bypass บน GlobalProtect portal และ gateway ของซอฟต์แวร์ Palo Alto Networks PAN-OS® อาจทำให้ผู้โจมตีสามารถ Bypass ข้อจำกัดด้านความปลอดภัย และทำการสร้างการเชื่อมต่อ VPN โดยไม่ได้รับอนุญาตได้"
Palo Alto Networks ระบุเพิ่มเติมว่า ช่องโหว่ดังกล่าวจะส่งผลกระทบเฉพาะกับ Firewall ที่มีการตั้งค่า GlobalProtect portal หรือ gateway ในกรณีที่มีการเปิดใช้งาน Authentication Override Cookies และมีรูปแบบการตั้งค่า Certificate เฉพาะตามที่ระบุ
ล่าสุดเมื่อวันที่ 29 พฤษภาคม 2026 Palo Alto Networks ได้อัปเดตข้อมูลเพิ่มเติมว่า "มีการตรวจพบความพยายามโจมตีในวงจำกัดแล้ว บนอุปกรณ์ PAN-OS ที่ยังไม่มีการติดตั้งแพตช์ และไม่มีมาตรการป้องกันชั่วคราว (Mitigations)"
ความคืบหน้านี้เกิดขึ้นหลังจาก Rapid7 ตรวจพบการโจมตีที่สำเร็จแล้วในกลุ่มลูกค้าหลายราย โดยเริ่มพบตั้งแต่ 17 พฤษภาคม 2026 ก่อนจะพบระลอกที่สองตามมาในวันที่ 21 พฤษภาคม 2026 ซึ่งคาดว่าการโจมตีทั้งหมดเป็นฝีมือของแฮ็กเกอร์กลุ่มเดียวกัน
พฤติกรรมการโจมตีในระลอกสองพบว่า มี 2 เคสที่แฮ็กเกอร์ได้รับสิทธิ์ VPN IP หลังจากผ่านขั้นตอน Cookie Authentication ทำให้สามารถเข้าสู่เครือข่ายภายในได้ อย่างไรก็ตาม ผู้เชี่ยวชาญระบุว่า ยังไม่พบพฤติกรรมการโจมตีต่อเนื่องในระบบของลูกค้าที่มีการเปิดเซสชัน VPN ดังกล่าว
Rapid7 เตือนว่า "ช่องโหว่ Authentication Bypass บนอุปกรณ์ Enterprise VPN บนเครือข่าย ถือเป็นภัยคุกคามร้ายแรงต่อองค์กร" "องค์กรที่ใช้งานอุปกรณ์เวอร์ชันที่มีช่องโหว่จึงจำเป็นต้องอัปเดตแพตช์ความปลอดภัยล่าสุดจากทางผู้ผลิตโดยด่วนที่สุด"
คำแนะนำสำหรับมาตรการป้องกันชั่วคราว คือ ให้เลือกปิดการใช้งานฟีเจอร์ Authentication Override หรือทำการออก Certificate ชุดใหม่เพื่อแยกใช้กับฟีเจอร์นี้โดยเฉพาะ
การโจมตีของช่องโหว่ CVE-2026-0257 ในรอบนี้ เกิดขึ้นไล่เลี่ยกับรายงานจาก Arctic Wolf ที่เตือนเรื่องการนำช่องโหว่ความปลอดภัยระดับ Critical (คะแนน CVSS: 9.1) บนระบบ FortiClient Endpoint Management Server (EMS) (CVE-2026-35616) มาดัดแปลงเป็นเครื่องมือเพื่อฝังมัลแวร์ขโมยรหัสผ่านชื่อ EKZ Infostealer
อัปเดต
หน่วยงาน CISA ของสหรัฐฯ ได้เพิ่มหมายเลข CVE-2026-0257 เข้าสู่บัญชีรายชื่อช่องโหว่ที่เป็นอันตราย (KEV catalog) แล้ว พร้อมสั่งการให้หน่วยงานของรัฐบาลกลาง (FCEB) เร่งปิดช่องโหว่ดังกล่าวทันทีภายในเส้นตายวันที่ 1 มิถุนายน 2026
ที่มา : thehackernews
You must be logged in to post a comment.