สรุปสั้น

Palo Alto Networks เปิดเผยช่องโหว่ zero-day CVE-2026-0300 ใน PAN-OS ที่ถูกโจมตีจริงตั้งแต่วันที่ 9 เมษายน 2569 ช่องโหว่นี้เป็น buffer overflow ใน User-ID Authentication Portal (Captive Portal) ของ PAN-OS ทำให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลด้วยสิทธิ์ root บน firewall PA-Series และ VM-Series โดยไม่ต้องยืนยันตัวตน Unit 42 ของ Palo Alto ระบุว่าเป็นฝีมือกลุ่ม nation-state ที่ติดตามในชื่อ CL-STA-1132 ซึ่งหลังเจาะระบบได้แล้วมีการสำรวจ Active Directory และฝัง EarthWorm กับ ReverseSocks5 CISA เพิ่ม CVE-2026-0300 เข้า Known Exploited Vulnerabilities (KEV) catalog เมื่อ 6 พฤษภาคม 2569 Palo Alto Networks ออกแพตช์แก้ไขแล้วเมื่อ 13 พฤษภาคม 2569

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อเดือนพฤษภาคม พ.ศ. 2569 ว่า Palo Alto Networks ค้นพบช่องโหว่ zero-day ร้ายแรง CVE-2026-0300 ใน PAN-OS ซึ่งเป็นระบบปฏิบัติการของอุปกรณ์ firewall ตระกูล PA-Series และ VM-Series ช่องโหว่นี้ได้รับคะแนน CVSS 9.3 จัดอยู่ในระดับ Critical Palo Alto Networks ตรวจพบความพยายามโจมตีครั้งแรกตั้งแต่วันที่ 9 เมษายน 2569 แต่ในช่วงแรกยังไม่สำเร็จ จนกระทั่งประมาณหนึ่งสัปดาห์ต่อมาผู้โจมตีสามารถ exploit ได้สำเร็จและฝัง shellcode เข้าไปในระบบ ทีม Unit 42 ของ Palo Alto ติดตามกิจกรรมนี้ภายใต้ชื่อ CL-STA-1132 และเชื่อว่าเป็นฝีมือของกลุ่ม nation-state โดยหลังเจาะระบบได้ ผู้โจมตีทำการสำรวจ Active Directory และติดตั้งเครื่องมือ EarthWorm และ ReverseSocks5 บนอุปกรณ์อีกตัวในเครือข่ายเมื่อ 29 เมษายน 2569 CISA ของสหรัฐฯ เพิ่ม CVE-2026-0300 เข้า KEV catalog เมื่อ 6 พฤษภาคม 2569 กำหนดให้หน่วยงานรัฐบาลกลางต้องแก้ไขภายใน 9 พฤษภาคม Palo Alto Networks ออกแพตช์แก้ไขเมื่อวันที่ 13 พฤษภาคม 2569

รายละเอียดช่องโหว่

CVE-2026-0300 เป็นช่องโหว่ buffer overflow ใน User-ID Authentication Portal (Captive Portal) ของ PAN-OS:

  • ผู้โจมตีสามารถส่ง specially crafted packets ไปยัง Authentication Portal
  • ไม่ต้องมีข้อมูลยืนยันตัวตนใดๆ (unauthenticated)
  • exploit สำเร็จจะได้สิทธิ์ root บนอุปกรณ์ firewall ทันที
  • กระทบ PA-Series (hardware firewall) และ VM-Series (virtual firewall)
  • หลัง exploit สำเร็จ กลุ่ม CL-STA-1132 ใช้เครื่องมือ EarthWorm สำหรับ network tunneling และ ReverseSocks5 สำหรับ reverse proxy เพื่อขยายการเข้าถึงเครือข่ายภายใน

ผลกระทบต่อไทย

อุปกรณ์ Palo Alto Networks เป็น firewall ที่ใช้อย่างแพร่หลายในองค์กรขนาดใหญ่ ธนาคาร หน่วยงานรัฐ และบริษัทด้านโทรคมนาคมในประเทศไทย ช่องโหว่ระดับ root access บน firewall หมายความว่าผู้โจมตีสามารถเข้าถึงและควบคุมเครือข่ายภายในทั้งหมดได้ การที่เป็น zero-day ที่ถูกใช้โดยกลุ่ม nation-state ยิ่งเพิ่มความเสี่ยงให้กับหน่วยงานโครงสร้างพื้นฐานสำคัญของไทยที่อาจตกเป็นเป้าหมายในบริบทภูมิรัฐศาสตร์

คำแนะนำ

  • อัปเดต PAN-OS เป็นเวอร์ชันล่าสุดที่ออกเมื่อ 13 พฤษภาคม 2569 โดยเร็วที่สุด
  • หากยังไม่สามารถแพตช์ได้ทันที ให้ จำกัดการเข้าถึง User-ID Authentication Portal เฉพาะ trusted zones หรือปิดฟีเจอร์นี้หากไม่จำเป็น
  • ตรวจสอบล็อกว่ามีการเข้าถึง Captive Portal จาก IP ภายนอกที่ผิดปกติหรือไม่
  • สแกนหา IOCs ที่เกี่ยวข้องกับ CL-STA-1132 โดยเฉพาะเครื่องมือ EarthWorm และ ReverseSocks5
  • ตรวจสอบ Active Directory ว่ามีการ enumeration หรือเปลี่ยนแปลงสิทธิ์ที่ผิดปกติหรือไม่

แหล่งอ้างอิง