กิจกรรมการสแกนซึ่งมุ่งเป้าไปยังหน้า Portal สำหรับล็อกอิน GlobalProtect VPN ของ Palo Alto Networks ได้เพิ่มขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง ซึ่งเป็นสัญญาณที่แสดงให้เห็นว่าเป็นแคมเปญการโจมตีที่มีการประสานงานกันอย่างเป็นระบบ

GreyNoise บริษัทผู้ให้บริการข้อมูล threat intelligence แบบ Real-time รายงานว่า กิจกรรมดังกล่าวได้เริ่มไต่ระดับสูงขึ้นเมื่อวันที่ 14 พฤศจิกายน และพุ่งแตะระดับสูงสุดในรอบ 90 วันภายในระยะเวลาเพียงหนึ่งสัปดาห์

ในประกาศดังกล่าวระบุว่า "GreyNoise ตรวจพบการยกระดับขึ้นอย่างมีนัยสำคัญของกิจกรรมที่เป็นอันตราย ซึ่งมุ่งเป้าไปยังหน้า Portal ของ Palo Alto Networks GlobalProtect"

"โดยเริ่มตั้งแต่วันที่ 14 พฤศจิกายน 2025 กิจกรรมดังกล่าวได้เพิ่มปริมาณสูงขึ้นอย่างรวดเร็ว จนพุ่งสูงขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง และทำสถิติสูงสุดครั้งใหม่ในรอบ 90 วัน"

เมื่อช่วงต้นเดือนตุลาคม GreyNoise เคยรายงานว่าพบจำนวน IP address ที่เข้ามาสแกนโปรไฟล์ของ Palo Alto Networks GlobalProtect และ PAN-OS เพิ่มขึ้นถึง 500% โดย 91% ของจำนวนดังกล่าวถูกจัดประเภทว่าเป็น 'suspicious' และอีก 7% ระบุว่าเป็น 'clearly malicious'

ก่อนหน้านี้ในเดือนเมษายน 2025 GreyNoise ได้รายงานถึงกิจกรรมการสแกนที่พุ่งสูงขึ้นอีกระลอก โดยมีเป้าหมายที่หน้า Portal สำหรับล็อกอินของ Palo Alto Networks GlobalProtect ซึ่งเกี่ยวข้องกับ IP address ถึง 24,000 IP โดยส่วนใหญ่ถูกจัดประเภทว่าเป็น 'suspicious' และมี 154 IP ที่ระบุว่าเป็น 'malicious'

GreyNoise เชื่อว่ากิจกรรมล่าสุดนี้เชื่อมโยงกับแคมเปญที่เกี่ยวข้องกันก่อนหน้านี้ โดยพิจารณาจากข้อมูล Fingerprint แบบ TCP/JA4t ที่ปรากฏซ้ำ, การนำหมายเลข ASN (Autonomous System Numbers) เดิมกลับมาใช้ใหม่ และช่วงเวลาของการพุ่งขึ้นของกิจกรรมที่สอดคล้องกันในแต่ละแคมเปญ

ASN หลักที่ถูกใช้ในการโจมตีเหล่านี้ระบุได้ว่าเป็น AS200373 (3xK Tech GmbH) โดย 62% ของ IP มีที่ตั้งอยู่ในประเทศเยอรมนี และ 15% อยู่ในแคนาดา ส่วน ASN ที่ 2 ที่เกี่ยวข้องกับกิจกรรมดังกล่าว คือ AS208885 (Noyobzoda Faridduni Saidilhom)

การมุ่งเป้าโจมตีการล็อกอิน VPN

ระหว่างวันที่ 14 ถึง 19 พฤศจิกายน GreyNoise ตรวจพบ session การเชื่อมต่อถึง 2.3 ล้านครั้ง ที่พยายามเข้าถึง URI /global-protect/login.

Palo Alto Networks ออกอัปเดตเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงใน PAN-OS ที่อาจทำให้ถูกโจมตีแบบ Authentication Bypass ได้ (more…)

เมื่อวันศุกร์ที่ผ่านมา (8 พฤศจิกายน 2024) Palo Alto Networks ได้ออกคำแนะนำเชิงข้อมูล เพื่อให้ลูกค้าตรวจสอบให้แน่ใจว่ามีการกำหนดการเข้าถึง Management interface ของ PAN-OS อย่างปลอดภัย เนื่องจากอาจมีช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

CISA แจ้งเตือนการพบ Hacker กำลังใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Palo Alto Networks Expedition ซึ่งเป็น migration tool ที่สามารถช่วยแปลง configuration ไฟร์วอลล์จาก Checkpoint, Cisco และผู้ให้บริการรายอื่นให้สามารถใช้ได้กับ PAN-OS (more…)

Palo Alto Networks ออกมาแจ้งเตือนผู้ใช้งานให้อัปเดตช่องโหว่ด้านความปลอดภัย (ด้วย public exploit code) ที่ทำให้สามารถโจมตีเพื่อเข้าถึง PAN-OS firewalls ได้ (more…)

Palo Alto Networks ออกประกาศแจ้งเตือนการหมดอายุ Certificate ของ Firewall PAN-OS และ User-ID/Terminal Server (TS) ในวันที่ 18 พฤศจิกายน 2024 จึงแจ้งเตือนให้ผู้ดูแลระบบทำการอัปเดตเพื่อป้องกันปัญหาที่อาจจะเกิดขึ้น (more…)

Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าวจะเกิดขึ้นได้ก็ต่อเมื่อ Palo Alto มี Configuration ในรูปแบบดังนี้

1. มีการตั้งค่าฟีเจอร์ URL Filtering ที่มีการบล็อคอย่างน้อย 1 category กับ source zone ที่มี external facing interface

2. ไม่ได้มีการเปิดการใช้งาน TCP Syn With Data และ TCP Fast Open ใน Packet-based attack protection ใน Zone Protection profile

3. ไม่ได้มีการเปิดการใช้งาน SYN Cookies ด้วยค่า activation threshold = 0 ใน Flood protection ใน Zone Protection profile

(more…)

Palo Alto Networks ประกาศ 5 ช่องโหว่ใหม่ใน PAN-OS

เมื่อกลางสัปดาห์ที่ผ่านมา Palo Alto Networks ประกาศแพตช์จำนวน 5 ช่องโหว่ให้แก่ PAN-OS โดยมี 3 ช่องโหว่ที่มีคะแนน CVSSv3 สูงกว่า 7 คะแนน ช่องโหว่ที่น่าสนใจมีดังต่อไปนี้

CVE-2020-2050: ช่องโหว่ Authentication bypass ในกระบวนการตรวจสอบใบอนุญาตของไคลเอนต์ GlobalProtect กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0 ช่องโหว่นี้สามารถโจมตีได้ผ่านทางเครือข่าย ทำได้ง่ายและผู้โจมตีไม่จำเป็นต้องระบุตัวตน
CVE-2020-2022: ช่องโหว่ Session disclosure ใน Panorama ระหว่างการเปลี่ยน context ไปเป็น managed device กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0
CVE-2020-2000: ช่องโหว่ OS command injection และ Memory corruption กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0

ช่องโหว่ทั้งหมดได้รับการแพตช์ออกมาเป็น minor version ใหม่ เช่น หากช่องโหว่กระทบ PAN-OS 10.0.0 แพตช์จะถูกปล่อยออกมาในเวอร์ชัน 10.0.1 ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดของแพตช์และช่องโหว่ได้จากแหล่งที่มา

ที่มา: security.

Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS ช่องโหว่ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies ซึ่งช่องโหว่ที่ถูกเเก้ไขนั้นมีระดับความรุนเเรงจาก CVSS อยู่ที่ 3.3 - 9.8 ช่องโหว่ที่มีความสำคัญมีรายละเอียดดังนี้

CVE-2020-2040 (CVSS: 9.8) เป็นช่องโหว่ Buffer overflow ใน PAN-OS โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูท โดยการส่งคำขอที่เป็นอันตรายไปยัง Captive Portal หรืออินเทอร์เฟซ Multi-Factor Authentication ช่องโหว่นี้ได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูทจะกระทบกับ PAN-OS 8.0 ทุกเวอร์ชัน, PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.15, PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9, PAN-OS 9.1 เวอร์ชันก่อนหน้า PAN-OS 9.1.3 โดยช่องโหว่นี้จะไม่ส่งผลกระทบกับ GlobalProtect VPN และ PAN-OS management web interfaces
CVE-2020-2036 (CVSS: 8.8) เป็นช่องโหว่ Cross-Site Scripting (XSS) ช่องโหว่อยู่ใน management web interfaces ช่องโหว่จะทำให้ผู้โจมตีจากระยะไกลที่ทำการหลอกผู้ดูแลระบบด้วยเซสชันที่ได้รับการพิสูจน์ตัวตนและใช้งานอยู่บน firewall management interface ให้ทำการคลิกลิงก์ที่สร้างขึ้นเป็นพิเศษโดยช่องโหว่จะทำให้สามารถเรียกใช้โค้ด JavaScript ได้โดยไม่ได้รับอนุญาตในเบราว์เซอร์ของผู้ดูแลระบบและผู้โจมตีจะสามารถดำเนินการในฐานะดูแลระบบได้ ช่องโหว่นี้มีผลกระทบกับ PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.16 และ PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9
CVE-2020-2041 (CVSS: 7.5) เป็นช่องโหว่ Denial-of-service (DoS) ใน Management web interface ช่องโหว่จะทำให้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนจากระยะไกลสามารถส่งคำขอที่สร้างขึ้นโดยเฉพาะไปยังอุปกรณ์ที่ทำให้บริการ appweb ซึ่งเมื่อเกิดการส่งการร้องขอซ้ำหลายครั้งส่งผลใก้เกิด DoS ใน PAN-OS เซอร์วิสและจะทำให้อุปกรณ์เกิดการรีสตาร์ท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.0 และ PAN-OS 8.1 ทุกเวอร์ชันก่อนหน้า 8.1.16
CVE-2020-2037(CVSS: 7.2) และ CVE-2020-2038 (CVSS: 7.2) เป็นช่องโหว่ Command Injection ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีสามารถรันคำสั่งได้ด้วยสิทธิ์ของรูท ช่องโหว่จะกระทบกับ PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.10, PAN-OS 9.1 เวอร์ชันก่อนหน้า 9.1.4 และ PAN-OS 10.0 เวอร์ชันก่อนหน้า 10.0.1
CVE-2020-2042 (CVSS: 7.2) เป็นช่องโหว่ Buffer overflow ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีที่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดโดยอำเภอใจด้วยสิทธิ์ระดับรูท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 10.0 เวอร์ชันก่อนหน้า PAN-OS 10.0.1
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ของ PAN-OS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: security.

Palo Alto Networks (PAN) ได้กล่าวถึงช่องโหว่ที่รุนแรงอีกครั้งที่พบใน PAN-OS GlobalProtect portal และส่งผลกระทบต่ออุปกรณ์ Next generation firewall

CVE-2020-2034 เป็นช่องโหว่เกี่ยวกับ OS command injecton ทำให้ผู้โจมตีสามารถ Remote โดยไม่ผ่านการตรวจสอบสิทธิ์และสามารถรัน OS command โดยใช้สิทธิ์ root บนอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตซ์ โดยช่องโหว่นี้สามารถทำได้ยากและมีความซับซ้อน ผู้โจมตีต้องการข้อมูลระดับหนึ่งเกี่ยวกับการกำหนดค่าไฟร์วอลล์ที่ได้รับผลกระทบ ช่องโหว่ CVE-2020-2034 ได้รับการจัดอันดับความรุนแรงสูงด้วยคะแนนฐาน CVSS 3.x ที่ Score 8.1

ช่องโหว่นี้มีผลกระทบกับอุปกรณ์ที่เปิดใช้งาน GlobalProtect portal เท่านั้น ช่องโหว่นี้ไม่สามารถเกิดขึ้นได้หากปิดการใช้งานฟีเจอร์นี้ ในขณะเดียวกันบริการ Prisma Access ไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้ได้ถูกแก้ไขแล้ว โดยผู้ใช้ต้องอัปเดตแพทซ์ในเวอร์ชันที่มากกว่าหรือเท่ากับ PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 หรือเวอร์ชันที่ใหม่กว่าทั้งหมด ส่วน Version PAN-OS 7.1 และ PAN-OS 8.0 จะไม่ได้รับการแก้ไขสำหรับช่องโหว่นี้

ที่มา: bleepingcomputer