TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Palo Alto Networks ออกคำเตือนว่าช่องโหว่ Authentication Bypass CVE-2026-0257 บน PAN-OS GlobalProtect กำลังถูกนำไปใช้โจมตีจริงแล้ว โดยผู้โจมตีสามารถสร้าง VPN connection เข้าถึงเครือข่ายองค์กรโดยไม่ต้องผ่านการยืนยันตัวตน
Palo Alto Networks ได้แก้ไขช่องโหว่ CVE-2026-0257 ตั้งแต่ต้นเดือนที่ผ่านมา โดยเดิมจัดระดับความรุนแรงเป็น Medium เนื่องจากต้องอาศัยเงื่อนไขเฉพาะคือเปิดใช้งาน authentication override cookie และมีการตั้งค่า certificate ในรูปแบบที่เอื้อต่อการโจมตี อย่างไรก็ตาม Palo Alto Networks ได้ปรับระดับความรุนแรงเป็น High หลังพบว่ามีการโจมตีอุปกรณ์ที่ยังไม่ได้แพตช์จริงแล้ว
ทาง Rapid7 รายงานว่าพบการโจมตีช่องโหว่นี้กับลูกค้าหลายรายตั้งแต่วันที่ 17 พฤษภาคม 2026 โดยผู้โจมตีใช้วิธีปลอม authentication override cookie เพื่อเข้าถึง GlobalProtect gateway ในฐานะ local administrator ต้นทางการโจมตีระลอกแรกมาจาก infrastructure ของ Vultr ในวันที่ 18 พฤษภาคม ตามด้วยระลอกที่สองจาก Dromatics Systems ในวันที่ 21 พฤษภาคม ในบางกรณีผู้โจมตีสามารถเชื่อมต่อ VPN เข้าถึงเครือข่ายภายในได้สำเร็จ แต่ในหลายกรณีแม้อุปกรณ์จะรับ cookie ปลอมแต่ไม่สามารถสร้าง VPN session ได้เต็มรูปแบบ
สาเหตุของช่องโหว่มาจากการที่ PAN-OS ถอดรหัส authentication override cookie ด้วย private key แล้วเชื่อถือข้อมูลภายในโดยไม่มีการตรวจสอบ signature หากองค์กรใช้ certificate ตัวเดียวกันสำหรับทั้ง HTTPS service และ authentication override cookie ผู้โจมตีสามารถดึง public key จาก HTTPS session แล้วนำไปสร้าง cookie ปลอมที่อุปกรณ์ยอมรับได้ ผู้ดูแลระบบที่ใช้งาน GlobalProtect VPN ควรติดตั้งแพตช์ล่าสุดโดยด่วน หรือหากยังไม่สามารถอัปเดตได้ ให้ปิดการใช้งาน authentication override feature หรือใช้ certificate แยกสำหรับส่วนนี้โดยไม่ใช้ร่วมกับ service อื่นบนอุปกรณ์ ทั้งนี้ CISA ได้เพิ่มช่องโหว่นี้เข้า Known Exploited Vulnerability catalog แล้ว โดยกำหนดให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องดำเนินการแก้ไขภายในวันที่ 1 มิถุนายน 2026
