Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง ที่อาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถหยุดการทำงานของ firewall ผ่านการโจมตีแบบ Denial-of-Service (DoS) ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-0227 โดยส่งผลกระทบต่อ Next-Generation Firewall (ที่ทำงานบนระบบปฏิบัติการ PAN-OS เวอร์ชัน 10.1 หรือใหม่กว่า) และมีการกำหนดค่า Prisma Access ของ Palo Alto Networks เมื่อมีการเปิดใช้งาน gateway หรือ portal ของ GlobalProtect

ทางบริษัทระบุว่า Prisma Access instances บนคลาวด์ส่วนใหญ่ได้รับการแพตช์แก้ไขแล้ว ส่วนระบบที่เหลือมีกำหนดการที่จะได้รับการอัปเกรดเพื่อความปลอดภัยแล้วเช่นกัน

Palo Alto Networks อธิบายว่า "ช่องโหว่ในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks เอื้อประโยชน์ให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำให้ firewall เกิดสภาวะ denial of service (DoS) ได้ ซึ่งหากมีความพยายามโจมตีช่องโหว่นี้ซ้ำ ๆ จะส่งผลให้ firewall เข้าสู่ Maintenance mode ทันที"

"บริษัทได้ดำเนินการอัปเกรด Prisma Access ให้กับลูกค้าส่วนใหญ่เสร็จสิ้นแล้ว ยกเว้นเพียงส่วนน้อยที่ยังอยู่ระหว่างดำเนินการเนื่องจากติดปัญหาเรื่องตารางเวลาการอัปเกรดที่ไม่ตรงกัน สำหรับลูกค้าที่เหลือจะได้รับการจัดตารางเวลาเพื่ออัปเกรดโดยเร็วที่สุด ผ่านกระบวนการมาตรฐานของบริษัท"

Shadowserver ซึ่งเป็นหน่วยงานเฝ้าระวังความปลอดภัยทางอินเทอร์เน็ตตรวจพบว่า ขณะนี้มี firewall ของ Palo Alto Networks เกือบ 6,000 ตัวที่เปิดให้เข้าถึงได้ผ่านทางออนไลน์ อย่างไรก็ตาม ยังไม่มีข้อมูลแน่ชัดว่ามีจำนวนเท่าใดที่มีการตั้งค่าที่เสี่ยงต่อช่องโหว่ หรือได้รับการแพตช์แก้ไขแล้ว

ในขณะที่มีการเผยแพร่คำแนะนำด้านความปลอดภัยเมื่อวันที่ 14 มกราคม 2026 ที่ผ่านมา Palo Alto ระบุว่า ทางบริษัทยังไม่พบหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแต่อย่างใด

Palo Alto Networks ได้ปล่อยอัปเดตความปลอดภัยสำหรับทุกเวอร์ชันที่ได้รับผลกระทบแล้ว และขอแนะนำให้ผู้ดูแลระบบรีบทำการอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อปกป้องระบบจากการโจมตีที่อาจเกิดขึ้นได้

Firewall ของ Palo Alto Networks มักตกเป็นเป้าหมายในการโจมตี โดยบ่อยครั้งผู้โจมตีจะใช้ช่องโหว่ Zero-day ที่ยังไม่ได้รับการเปิดเผย หรือยังไม่มีแพตช์แก้ไข

ย้อนกลับไปในเดือน พฤศจิกายน 2024 Palo Alto Networks ได้ออกแพตช์แก้ไขช่องโหว่ Zero-day ของ PAN-OS firewall จำนวน 2 รายการที่ถูกนำไปใช้ในการโจมตีจริง ที่อาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับ Root ได้ โดยไม่กี่วันต่อมา Shadowserver ได้เปิดเผยว่ามี firewall หลายพันตัวถูกเจาะระบบในการโจมตีระลอกนั้น (ถึงแม้ทางบริษัทจะระบุว่า การโจมตีส่งผลกระทบต่ออุปกรณ์เพียง "จำนวนน้อยมาก" ก็ตาม) ในขณะที่ CISA ได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัยอุปกรณ์ของตนภายใน 3 สัปดาห์

หนึ่งเดือนถัดมา ในเดือนธันวาคม 2024 บริษัทด้านความปลอดภัยทางไซเบอร์รายนี้ได้แจ้งเตือนลูกค้าว่า แฮ็กเกอร์กำลังใช้ช่องโหว่ DoS ใน PAN-OS อีกรายการ (CVE-2024-3393) เพื่อโจมตี firewall ตระกูล PA-Series, VM-Series และ CN-Series ที่มีการเปิดใช้งาน DNS Security logging ส่งผลให้ระบบต้อง reboot ตัวเอง และปิดการทำงานของระบบป้องกัน firewall

ไม่นานหลังจากนั้น ในเดือนกุมภาพันธ์ บริษัทระบุว่าพบช่องโหว่อีก 3 รายการ (CVE-2025-0111, CVE-2025-0108 และ CVE-2024-9474) ถูกนำมาใช้ร่วมกันในการโจมตีเพื่อเจาะระบบ PAN-OS firewall

ล่าสุด GreyNoise ซึ่งเป็นบริษัทด้าน Threat Intelligence ได้แจ้งเตือนถึงแคมเปญการโจมตีอัตโนมัติที่มุ่งเป้าไปยัง Portal ของ Palo Alto GlobalProtect ด้วยวิธีการ Brute-force และพยายามล็อกอินจาก IP Address มากกว่า 7,000 รายการ โดย GlobalProtect คือส่วนประกอบสำหรับ VPN และการเข้าถึงจากระยะไกลบน PAN-OS firewall ซึ่งเป็นที่นิยมใช้งานในหน่วยงานภาครัฐ, ผู้ให้บริการ และองค์กรขนาดใหญ่จำนวนมาก

ปัจจุบัน ผลิตภัณฑ์ และบริการของ Palo Alto Networks มีลูกค้าใช้งานกว่า 70,000 รายทั่วโลก รวมถึงธนาคารรายใหญ่ที่สุดของสหรัฐฯ ส่วนใหญ่ และ 90% ของบริษัทชั้นนำในกลุ่ม Fortune 10

 

ที่มา : bleepingcomputer.

แคมเปญการโจมตีแบบ automated กำลังมุ่งเป้าไปที่แพลตฟอร์ม VPN หลายแห่ง โดยมีการตรวจพบการโจมตีโดยใช้ข้อมูล credential-based บน Palo Alto Networks GlobalProtect และ Cisco SSL VPN (more…)

พบแคมเปญโจมตีพอร์ทัล Palo Alto GlobalProtect ด้วยการพยายามเข้าสู่ระบบ และแคมเปญการสแกนอุปกรณ์ SonicOS API endpoints ของ SonicWall

(more…)

พบ IP addresses บนอินเตอร์เน็ตกว่า 77,000 รายการ ที่มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ Remote code execution ระดับ Critical "React2Shell" (CVE-2025-55182) โดยนักวิจัยยืนยันว่า Hacker ได้โจมตีองค์กรไปแล้วมากกว่า 30 แห่งในหลายภาคส่วน

(more…)

พบเหตุการณ์การโจมตีที่มุ่งเป้าไปยังพอร์ทัล Palo Alto Networks PAN-OS GlobalProtect โดยมี IP ที่ไม่ซ้ำกันเกือบ 24,000 รายการ ที่พยายามเข้าถึงโดยไม่ได้รับอนุญาตในช่วง 30 วันที่ผ่านมา

การโจมตีนี้ได้รับการแจ้งเตือนโดยบริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของผู้ไม่หวังดีในการตรวจสอบการป้องกันของเครือข่ายเพื่อเตรียมการโจมตีในอนาคต

GreyNoise ตรวจพบเหตุการณ์ที่เพิ่มสูงขึ้นมาตั้งแต่วันที่ 17 มีนาคม 2025 โดยสูงสุดเกือบถึง 20,000 IP ที่ไม่ซ้ำกันต่อวัน

แม้ว่าเหตุการณ์จะลดลงภายในวันที่ 26 มีนาคม แต่ก็ยังแสดงให้เห็นถึงรูปแบบที่สอดคล้องกัน โดยส่วนใหญ่ของ IP ที่ถูกตรวจสอบมีลักษณะเป็น Suspicious (23,800) และ Outright Malicious (154)

Bob Rudis รองประธานฝ่าย Data Science ของ GreyNoise ระบุว่า การโจมตีครั้งนี้สอดคล้องกับแนวโน้มในอดีตที่มักจะเกิดขึ้นหลังจากการค้นพบช่องโหว่ใหม่ ๆ

"ในช่วง 18-24 เดือนที่ผ่านมา เราได้พบการโจมตีที่มุ่งเป้าไปยังช่องโหว่เก่า ๆ ซึ่งมักจะตามมาด้วยการค้นพบช่องโหว่ใหม่ ๆ ภายในไม่กี่สัปดาห์"

องค์กรที่ใช้ผลิตภัณฑ์ของ Palo Alto Networks ถูกแนะนำให้เสริมความปลอดภัยในพอร์ทัลการเข้าสู่ระบบของตนทันที เนื่องจากผู้ไม่หวังดีอาจกำลังเตรียมการโจมตีในอนาคต

ข้อสังเกตที่สำคัญ

GreyNoise พบหลายปัจจัยที่สำคัญในการพยายามโจมตีนี้

การวิเคราะห์แหล่งที่มา และประเทศปลายทาง

ประเทศต้นทาง : ส่วนใหญ่ของการโจมตีมาจากสหรัฐอเมริกา (16,249) และแคนาดา (5,823) โดยมีเหตุการณ์เพิ่มเติมมาจากฟินแลนด์, เนเธอร์แลนด์ และรัสเซีย
ประเทศปลายทาง : ส่วนใหญ่เป้าหมายคือระบบในสหรัฐอเมริกา (23,768) ตามด้วยสหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์
เหตุการณ์ทั่วโลกนี้แสดงให้เห็นถึงการดำเนินการที่ประสานกันในหลายภูมิภาค

ผู้โจมตีที่มีส่วนร่วมหลัก และเครื่องมือที่ใช้

ผู้โจมตีที่มีส่วนร่วมหลักสามารถติดตามกลับได้ โดยมีการรับส่งข้อมูลไปยัง 3xK Tech GmbH ซึ่งรับผิดชอบ 20,010 IP ภายใต้ ASN200373

ผู้ที่มีส่วนร่วมอื่น ๆ ได้แก่ PureVoltage Hosting Inc.

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Google ได้แก้ไขช่องโหว่สองรายการในแพลตฟอร์ม Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการขโมยข้อมูลโมเดล Machine learning (ML) ที่ทำการ Fine-Tuned มาแล้ว และ Large Language Models (LLMs) ออกไปได้ ตามรายงานของ Unit 42 จาก Palo Alto Networks เมื่อวันอังคารที่ผ่านมา (12 พฤศจิกายน 2024) (more…)

Palo Alto Networks แจ้งเตือนการพบช่องโหว่ Zero-Day ความรุนแรงระดับ Critical บน Next-Generation Firewalls (NGFW) management interfaces มีหมายเลขติดตามช่องโหว่ "PAN-SA-2024-0015" โดยพบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง (more…)

เมื่อวันศุกร์ที่ผ่านมา (8 พฤศจิกายน 2024) Palo Alto Networks ได้ออกคำแนะนำเชิงข้อมูล เพื่อให้ลูกค้าตรวจสอบให้แน่ใจว่ามีการกำหนดการเข้าถึง Management interface ของ PAN-OS อย่างปลอดภัย เนื่องจากอาจมีช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)