ចំណុចខ្សោយ​នៃ​ការផ្ទៀងផ្ទាត់​ភាព​ឯកជន​របស់ Palo Alto Networks PAN-OS ត្រូវ​បាន​គេ​លួច​ចូល​ប្រើប្រាស់​នៅ​ក្នុង​ប្រព័ន្ធ​ឯកជន

ភាពងាយរងគ្រោះនៃការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ Palo Alto Networks គឺ CVE-2026-0257 ដែលប៉ះពាល់ដល់ PAN-OS និង Prisma Access ឥឡូវនេះកំពុងត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងធម្មជាតិ ដោយ CISA បានបន្ថែមវាទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) នៅថ្ងៃទី 29 ខែឧសភា ឆ្នាំ 2026។

Palo Alto Networks បានចេញផ្សាយសេចក្តីណែនាំសុវត្ថិភាពរបស់ខ្លួននៅថ្ងៃទី 13 ខែឧសភា ឆ្នាំ 2026 ដោយព្រមានថា CVE-2026-0257 អនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ពីចម្ងាយបង្កើតខូគីជំនួសការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងបង្កើតការតភ្ជាប់ VPN ដែលគ្មានការអនុញ្ញាតតាមរយៈច្រកទ្វារ GlobalProtect។

ភាពងាយរងគ្រោះនេះមាននៅក្នុងលក្ខណៈពិសេសដែលមិនមែនជាលំនាំដើមហៅថា "ការជំនួសការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ" ដែលអនុញ្ញាតឱ្យវិបផតថល និងច្រកទ្វារ GlobalProtect ចេញខូគីវគ្គដល់អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវស្រដៀងនឹងថូខឹនអ្នកកាន់ ដូច្នេះអ្នកប្រើប្រាស់មិនចាំបាច់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញនូវវគ្គនីមួយៗនោះទេ។

កំហុសនេះត្រូវបានបង្កឡើងលុះត្រាតែវិញ្ញាបនបត្រដែលប្រើដើម្បីអ៊ិនគ្រីប និងឌិគ្រីបខូគីជំនួសការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទាំងនេះត្រូវបានចែករំលែកជាមួយលក្ខណៈពិសេសផ្សេងទៀត ដូចជាសេវាកម្ម HTTPS នៃវិបផតថល ឬច្រកទ្វារ។

ដោយសារតែដំណើរការឌិគ្រីបនៅក្នុងប្រព័ន្ធគោលពីរ /usr/local/bin/gpsvc មិនអនុវត្តការផ្ទៀងផ្ទាត់ហត្ថលេខាបន្ទាប់ពីឌិគ្រីបខូគីទេ អ្នកវាយប្រហារណាមួយដែលអាចទាញយកកូនសោសាធារណៈពីវិញ្ញាបនបត្រ HTTPS ដែលបានបង្ហាញអាចបង្កើតខូគីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងរំលងការផ្ទៀងផ្ទាត់ទាំងស្រុង។

Rapid7 បានកំណត់អត្តសញ្ញាណការកេងប្រវ័ញ្ចដំបូងបំផុតនៅថ្ងៃទី 17 ខែឧសភា ឆ្នាំ 2026 ជាមួយនឹងរលកដំបូងនៃការវាយប្រហារដែលមានប្រភពមកពី IP ដែលបង្ហោះនៅលើ Vultr។ នៅថ្ងៃទី 18 ខែឧសភា Rapid7 បានរកឃើញការផ្ទៀងផ្ទាត់ដែលផ្អែកលើខូគីដែលគួរឱ្យសង្ស័យចំពោះគណនីអ្នកគ្រប់គ្រងក្នុងស្រុកនៅទូទាំងបរិស្ថានអតិថិជនច្រើន។

អ្នកវាយប្រហារបានប្រើឈ្មោះម៉ាស៊ីន GP-CLIENT និងអាសយដ្ឋាន MAC ក្លែងក្លាយ (aa:bb:cc:dd:ee:ff) ដើម្បីក្លែងបន្លំជាចំណុចបញ្ចប់ស្របច្បាប់។

រលកកេងប្រវ័ញ្ចលើកទីពីរបានកើតឡើងនៅថ្ងៃទី 21 ខែឧសភា ឆ្នាំ 2026 ដែលពេលនេះមានប្រភពមកពីអ្នកផ្តល់សេវាបង្ហោះ Dromatics Systems ដោយប្រើឈ្មោះម៉ាស៊ីន DESKTOP-GP01។

នៅក្នុងរលកនេះ ជនរងគ្រោះមួយចំនួនបានទទួលការចាត់តាំង VPN IP ពេញលេញបន្ទាប់ពីការផ្ទៀងផ្ទាត់ខូគី ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលប្រើដោយផ្ទាល់ទៅកាន់បណ្តាញខាងក្នុង។ នៅទូទាំងរលកទាំងពីរ អាសយដ្ឋាន MAC ក្លែងក្លាយដែលស៊ីសង្វាក់គ្នាបង្ហាញពីអ្នកគំរាមកំហែងតែមួយគត់នៅពីក្រោយយុទ្ធនាការទាំងពីរ។ ជាពិសេស អតិថិជន MDR ដែលរងផលប៉ះពាល់ចំនួន 8 នាក់ក្នុងចំណោម 10 នាក់បានឃើញតែការស៊ើបអង្កេតផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវប៉ុណ្ណោះ មិនមែនការបង្កើតវគ្គ VPN ពេញលេញនោះទេ។

ការកាត់បន្ថយ

អង្គការនានាគួរតែចាត់វិធានការដូចខាងក្រោមជាបន្ទាន់៖

ធ្វើឱ្យប្រសើរឡើងនូវឧទាហរណ៍ PAN-OS និង Prisma Access ដែលរងផលប៉ះពាល់ទាំងអស់ទៅជាកំណែដែលបានបំណះដោយអ្នកលក់

បិទមុខងារជំនួសការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវប្រសិនបើមិនចាំបាច់ប្រតិបត្តិការ

បង្កើតវិញ្ញាបនបត្រដែលឧទ្ទិសសម្រាប់ការអ៊ិនគ្រីបខូឃីជំនួសការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ — កុំចែករំលែកវាជាមួយសេវាកម្ម HTTPS

ស្វែងរក IOC ដែលបានរាយខាងលើនៅទូទាំងកំណត់ហេតុផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ VPN និង GlobalProtect

ដាក់ពង្រាយច្បាប់រកឃើញដែលមានសម្រាប់ InsightIDR/MDR៖ រួមទាំង "ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវគួរឱ្យសង្ស័យ - ការផ្ទៀងផ្ទាត់ខូឃី GlobalProtect របស់ Palo Alto ទៅកាន់គណនីអ្នកគ្រប់គ្រងមូលដ្ឋាន"

ទោះបីជាមានពិន្ទុ CVSSv4 មធ្យមក៏ដោយ Rapid7 ជំរុញឱ្យអង្គការនានាចាត់ទុក CVE-2026-0257 ជាភាពងាយរងគ្រោះអាទិភាពសំខាន់។ ការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅលើឧបករណ៍ VPN សហគ្រាសដែលប្រឈមមុខនឹងអ៊ីនធឺណិតតំណាងឱ្យវ៉ិចទ័រចូលប្រើដំបូងដ៏សំខាន់មួយ ហើយជាមួយនឹងការកេងប្រវ័ញ្ចសកម្មត្រូវបានបញ្ជាក់ និងស្គ្រីបភស្តុតាងសាធារណៈដែលអាចរកបានឥឡូវនេះ បង្អួចសម្រាប់ការស្តារឡើងវិញដោយសុវត្ថិភាពកំពុងបិទយ៉ាងឆាប់រហ័ស។