สรุปสั้น

Palo Alto Networks ออกประกาศเตือนว่าช่องโหว่ระดับปานกลางที่เพิ่งเปิดเผยในซอฟต์แวร์ PAN-OS และ Prisma Access ได้ถูกโจมตีจริงในวงกว้างแล้ว ช่องโหว่นี้ถูกติดตามด้วยรหัส CVE-2026-0257 มีคะแนน CVSS 7.8 เป็นช่องโหว่ประเภท authentication bypass ใน GlobalProtect portal และ gateway ที่เปิดให้ผู้โจมตีข้ามการยืนยันตัวตนและสร้างการเชื่อมต่อ VPN โดยไม่ได้รับอนุญาต ช่องโหว่นี้กระทบเฉพาะไฟร์วอลล์ที่ตั้งค่า GlobalProtect portal หรือ gateway โดยเปิดใช้งาน authentication override cookies ร่วมกับการตั้งค่าใบรับรองแบบเฉพาะ บริษัทความปลอดภัย Rapid7 พบการโจมตีสำเร็จในลูกค้าหลายราย โดยความพยายามครั้งแรกย้อนไปถึงวันที่ 17 พฤษภาคม 2569 และมีระลอกที่สองในวันที่ 21 ประเมินว่าเป็นฝีมือของผู้โจมตีรายเดียวกัน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 30 พฤษภาคม 2569 ว่า Palo Alto Networks ได้ออกมาเตือนถึงการโจมตีจริงที่ใช้ช่องโหว่ CVE-2026-0257 ในซอฟต์แวร์ PAN-OS และบริการ Prisma Access โดยช่องโหว่นี้เปิดทางให้ผู้ไม่หวังดีสามารถตั้งการเชื่อมต่อ VPN เข้าสู่เครือข่ายภายในขององค์กรได้

ในประกาศที่เผยแพร่เมื่อวันที่ 13 พฤษภาคม 2569 Palo Alto Networks ระบุว่าช่องโหว่ authentication bypass ใน GlobalProtect portal และ gateway ของ PAN-OS เปิดให้ผู้โจมตีข้ามข้อจำกัดด้านความปลอดภัยและสร้างการเชื่อมต่อ VPN ที่ไม่ได้รับอนุญาตได้ ช่องโหว่นี้กระทบเฉพาะไฟร์วอลล์ที่ตั้งค่า GlobalProtect portal หรือ gateway ในกรณีที่เปิดใช้งาน authentication override cookies และมีการตั้งค่าใบรับรองแบบเฉพาะอยู่

ต่อมาในวันที่ 29 พฤษภาคม 2569 Palo Alto Networks ได้อัปเดตประกาศ โดยระบุว่าบริษัทรับทราบถึงความพยายามโจมตีในวงจำกัดบนอุปกรณ์ PAN-OS ที่ยังไม่ได้แพตช์และไม่ได้ใช้มาตรการบรรเทาผลกระทบใด ๆ

การเปิดเผยนี้เกิดขึ้นหลังจากที่ Rapid7 รายงานว่าตรวจพบการโจมตีสำเร็จในลูกค้าหลายราย โดยความพยายามครั้งแรกย้อนไปถึงวันที่ 17 พฤษภาคม 2569 ตามด้วยระลอกที่สองในวันที่ 21 พฤษภาคม ทั้งสองชุดการโจมตีถูกประเมินว่าเป็นฝีมือของผู้โจมตีรายเดียวกัน

กิจกรรมในระลอกที่สองมีการกำหนด IP ของ VPN ให้ผู้โจมตีหลังจากการยืนยันตัวตนด้วย cookie ใน 2 กรณี ซึ่งทำให้ผู้โจมตีเข้าถึงเครือข่ายภายในได้สำเร็จ อย่างไรก็ตาม Rapid7 ระบุว่ายังไม่พบกิจกรรมต่อเนื่องหลังจากตั้ง session VPN ในสภาพแวดล้อมของลูกค้าเหล่านั้น

รายละเอียดช่องโหว่

CVE-2026-0257 เป็นช่องโหว่ authentication bypass ที่เกิดขึ้นเมื่อ GlobalProtect ถูกตั้งค่าให้ใช้ฟีเจอร์ authentication override cookies ร่วมกับการตั้งค่าใบรับรองแบบเฉพาะ ในเงื่อนไขนี้ผู้โจมตีสามารถข้ามขั้นตอนการพิสูจน์ตัวตนตามปกติและได้รับการกำหนด IP ของ VPN เสมือนเป็นผู้ใช้ที่ได้รับอนุญาต Rapid7 เตือนว่าช่องโหว่ authentication bypass ในอุปกรณ์ VPN ที่หันหน้าออกอินเทอร์เน็ตสามารถส่งผลกระทบรุนแรงต่อองค์กร เพราะเป็นจุดเริ่มต้นที่ผู้โจมตีใช้เจาะเข้าสู่เครือข่ายภายในได้โดยตรง จึงเร่งให้องค์กรที่ใช้อุปกรณ์ที่ได้รับผลกระทบรีบอัปเกรดเป็นเวอร์ชันที่ผู้ผลิตปล่อยแพตช์มาให้

ผลกระทบต่อไทย

Palo Alto Networks เป็นไฟร์วอลล์และอุปกรณ์ความปลอดภัยที่องค์กรขนาดกลางถึงใหญ่ในไทยใช้งานอย่างแพร่หลาย ทั้งในภาคธนาคาร โทรคมนาคม โรงงานอุตสาหกรรม และหน่วยงานรัฐ ฟีเจอร์ GlobalProtect ถูกใช้เป็น VPN สำหรับให้พนักงานทำงานจากระยะไกลอย่างกว้างขวาง โดยเฉพาะหลังยุคการทำงานแบบไฮบริด ช่องโหว่ที่เปิดให้ผู้โจมตีตั้ง VPN เข้าเครือข่ายภายในโดยไม่ต้องยืนยันตัวตนจึงเป็นความเสี่ยงร้ายแรงต่อองค์กรไทยที่เปิด GlobalProtect portal/gateway สู่อินเทอร์เน็ต เนื่องจากมีการยืนยันการโจมตีจริงแล้ว องค์กรในไทยที่ใช้ PAN-OS ควรถือว่าเรื่องนี้เป็นภัยเร่งด่วนและตรวจสอบการตั้งค่าทันที

คำแนะนำ

ผู้ดูแลระบบควรอัปเกรด PAN-OS เป็นเวอร์ชันที่ Palo Alto Networks ปล่อยแพตช์แก้ไขโดยเร่งด่วน สำหรับมาตรการบรรเทาผลกระทบชั่วคราว แนะนำให้ปิดการใช้งานฟีเจอร์ authentication override หรือสร้างใบรับรองใหม่เพื่อใช้เฉพาะกับฟีเจอร์ authentication override เท่านั้น องค์กรควรตรวจสอบ log ของ GlobalProtect ย้อนหลังตั้งแต่วันที่ 17 พฤษภาคม 2569 เพื่อหาร่องรอยการเชื่อมต่อ VPN ที่ผิดปกติหรือการกำหนด IP ที่ไม่ได้รับอนุญาต ควรพิจารณาจำกัดการเข้าถึง GlobalProtect portal/gateway จากอินเทอร์เน็ตเท่าที่จำเป็น และเปิดใช้การยืนยันตัวตนแบบหลายปัจจัยร่วมด้วยเสมอ

แหล่งอ้างอิง