เตือนช่องโหว่ Authentication Bypass บน Palo Alto GlobalProtect VPN ถูกใช้โจมตีจริงแล้ว

Palo Alto Networks ออกคำเตือนว่าช่องโหว่ Authentication Bypass CVE-2026-0257 บน PAN-OS GlobalProtect กำลังถูกนำไปใช้โจมตีจริงแล้ว โดยผู้โจมตีสามารถสร้าง VPN connection เข้าถึงเครือข่ายองค์กรโดยไม่ต้องผ่านการยืนยันตัวตน

Palo Alto Networks ได้แก้ไขช่องโหว่ CVE-2026-0257 ตั้งแต่ต้นเดือนที่ผ่านมา โดยเดิมจัดระดับความรุนแรงเป็น Medium เนื่องจากต้องอาศัยเงื่อนไขเฉพาะคือเปิดใช้งาน authentication override cookie และมีการตั้งค่า certificate ในรูปแบบที่เอื้อต่อการโจมตี อย่างไรก็ตาม Palo Alto Networks ได้ปรับระดับความรุนแรงเป็น High หลังพบว่ามีการโจมตีอุปกรณ์ที่ยังไม่ได้แพตช์จริงแล้ว

ทาง Rapid7 รายงานว่าพบการโจมตีช่องโหว่นี้กับลูกค้าหลายรายตั้งแต่วันที่ 17 พฤษภาคม 2026 โดยผู้โจมตีใช้วิธีปลอม authentication override cookie เพื่อเข้าถึง GlobalProtect gateway ในฐานะ local administrator ต้นทางการโจมตีระลอกแรกมาจาก infrastructure ของ Vultr ในวันที่ 18 พฤษภาคม ตามด้วยระลอกที่สองจาก Dromatics Systems ในวันที่ 21 พฤษภาคม ในบางกรณีผู้โจมตีสามารถเชื่อมต่อ VPN เข้าถึงเครือข่ายภายในได้สำเร็จ แต่ในหลายกรณีแม้อุปกรณ์จะรับ cookie ปลอมแต่ไม่สามารถสร้าง VPN session ได้เต็มรูปแบบ

สาเหตุของช่องโหว่มาจากการที่ PAN-OS ถอดรหัส authentication override cookie ด้วย private key แล้วเชื่อถือข้อมูลภายในโดยไม่มีการตรวจสอบ signature หากองค์กรใช้ certificate ตัวเดียวกันสำหรับทั้ง HTTPS service และ authentication override cookie ผู้โจมตีสามารถดึง public key จาก HTTPS session แล้วนำไปสร้าง cookie ปลอมที่อุปกรณ์ยอมรับได้ ผู้ดูแลระบบที่ใช้งาน GlobalProtect VPN ควรติดตั้งแพตช์ล่าสุดโดยด่วน หรือหากยังไม่สามารถอัปเดตได้ ให้ปิดการใช้งาน authentication override feature หรือใช้ certificate แยกสำหรับส่วนนี้โดยไม่ใช้ร่วมกับ service อื่นบนอุปกรณ์ ทั้งนี้ CISA ได้เพิ่มช่องโหว่นี้เข้า Known Exploited Vulnerability catalog แล้ว โดยกำหนดให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องดำเนินการแก้ไขภายในวันที่ 1 มิถุนายน 2026

ที่มา: https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Apple ร้องศาล OpenAI ขโมยทรัพย์สินทางปัญญา

Apple ได้ยื่นฟ้อง OpenAI โดยกล่าวหาว่าบริษัทได้ขโมยทรัพย์สินทางปัญญาที่เกี่ยวข้องกับอุปกรณ์สำหรับผู้บริโภคของตน

Darktrace พบเกตเวย์ AI เชื่อม Amazon Bedrock ถูกแฮ็กไปขุดคริปโต

นักวิจัยจากบริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Darktrace ซึ่งมีฐานอยู่ในสหราชอาณาจักร ได้เผยรายละเอียดเกี่ยวกับการบุกรุกระบบคลาวด์ โดยพบว่าเกตเวย์ปัญญาประดิษฐ์ที่เชื่อมต่อกับบริการ Amazon Bedrock ของ Amazon Web Services ถูกแฮ็กเพื่อนำไปใช้ขุดคริปโทเคอร์เรนซี