ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่หมายเลข CVE-2026-0257 ใน Palo Alto Networks PAN-OS ซึ่งส่งผลกระทบต่อฟังก์ชัน GlobalProtect Portal และ GlobalProtect Gateway โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และเชื่อมต่อ VPN เข้าสู่ระบบขององค์กรได้โดยไม่ได้รับอนุญาต ในปัจจุบันมีรายงานว่าพบการโจมตีช่องโหว่ดังกล่าวแล้ว โดยผู้ดูแลระบบหรือผู้ใช้งานควรดำเนินการตรวจสอบเวอร์ชันที่ใช้งาน ตรวจสอบการตั้งค่าที่เกี่ยวข้อง และอัปเดต Patch ล่าสุดจากผู้ผลิตโดยเร็วที่สุด เพื่อลดความเสี่ยงจากการถูกเข้าถึงระบบภายในองค์กรโดยไม่ได้รับอนุญาต [1]
1. รายละเอียดช่องโหว่[2]
ช่องโหว่ CVE-2026-0257 ( มีคะแนน cvss v 3.1 : 9.1 ) เป็นช่องโหว่ประเภท Authentication Bypass ในส่วน GlobalProtect Portal และ GlobalProtect Gateway ของ Palo Alto Networks PAN-OS เกี่ยวข้องกับการตรวจสอบและความถูกต้องของค่า Cookie ที่ใช้ในกระบวนการยืนยันตัวตน โดยในบางกรณี หากมีการตั้งค่าระบบไม่เหมาะสม เช่น การใช้ Certificate เดียวกันสำหรับบริการ HTTPS และการเข้ารหัส Cookie อาจทำให้ผู้โจมตีสามารถนำข้อมูลที่เกี่ยวข้องไปใช้สร้าง Cookie ปลอมเพื่อหลอกระบบให้ยอมรับว่าเป็นผู้ใช้งานที่ถูกต้องได้ ส่งผลให้ผู้โจมตีสามารถเชื่อมต่อ VPN ได้โดยไม่ต้องมีรหัสผ่านหรือผ่านกระบวนการยืนยันตัวตนตามปกติ หากผู้โจมตีสามารถเชื่อมต่อ VPN เข้าสู่ระบบขององค์กรได้สำเร็จ อาจนำไปสู่การเข้าถึงข้อมูลภายใน การเคลื่อนย้ายภายในเครือข่าย การขโมยข้อมูลสำคัญ หรือใช้เป็นฐานในการโจมตีระบบอื่น ๆ ต่อไป
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 Palo Alto Networks PAN-OS ที่เปิดใช้งาน GlobalProtect Portal
2.2 Palo Alto Networks PAN-OS ที่เปิดใช้งาน GlobalProtect Gateway
2.3 ระบบที่มีการตั้งค่า Cookie encryption หรือ Certificate ที่ไม่เหมาะสมตามเงื่อนไขที่ผู้ผลิตระบุ
หมายเหตุ: ผู้ดูแลระบบควรตรวจสอบรายละเอียดเวอร์ชันที่ได้รับผลกระทบจากประกาศของ Palo Alto Networks โดยตรง เนื่องจากเวอร์ชันที่ได้รับผลกระทบอาจแตกต่างกันตามรุ่นและการตั้งค่าของระบบ[3]
3. แนวทางการแก้ไข
3.1 ติดตั้ง Security Update ล่าสุดจาก Palo Alto Networks สำหรับ PAN-OS เวอร์ชันที่ได้รับผลกระทบ
3.2 ตรวจสอบการตั้งค่า GlobalProtect Portal และ GlobalProtect Gateway ให้เป็นไปตามคำแนะนำของผู้ผลิต
3.3 ตรวจสอบการใช้งาน Certificate ที่เกี่ยวข้องกับ HTTPS service และ Cookie encryption ไม่ให้มีการตั้งค่าที่เสี่ยงต่อการถูกนำไปใช้โจมตี
3.4 ตรวจสอบ Log การเชื่อมต่อ VPN ย้อนหลัง เพื่อค้นหาการเชื่อมต่อที่ผิดปกติ เช่น การเชื่อมต่อจาก IP แปลกปลอม หรือบัญชีผู้ใช้งานที่มีพฤติกรรมผิดปกติ
3.5 ตรวจสอบบัญชีผู้ใช้งานที่มีสิทธิ์สูง และบังคับเปลี่ยนรหัสผ่านหากพบพฤติกรรมต้องสงสัย
4. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 จำกัดการเข้าถึง GlobalProtect Portal และ Gateway เฉพาะ IP Address หรือเครือข่ายที่จำเป็น
4.2 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชีที่ใช้เชื่อมต่อ VPN
4.3 ตรวจสอบและปิดบัญชีผู้ใช้งานที่ไม่ได้ใช้งานหรือหมดความจำเป็น
4.4 เฝ้าระวัง Log การเชื่อมต่อ VPN อย่างใกล้ชิด โดยเฉพาะการเชื่อมต่อในช่วงเวลาผิดปกติ
แหล่งอ้างอิง
[1] https://dg.th/hfm2xd3iqu
[2] https://dg.th/nept5fbm8w
[3] https://dg.th/h4v5yj2fgt