Palo Alto เตือนช่องโหว่ความปลอดภัยใน PAN-OS ทำองค์กรเสี่ยงถูกโจมตีจากระยะไกล
Palo Alto Networks ออกประกาศเตือนถึงช่องโหว่ความปลอดภัยระดับสูงที่เพิ่งถูกค้นพบในซอฟต์แวร์ระบบปฏิบัติการ PAN-OS ซึ่งเป็นหัวใจของไฟร์วอลล์ Next-Generation Firewall (NGFW) และบริการ Prisma Access โดยช่องโหว่นี้อนุญาตให้ผู้โจมตีจากระยะไกลที่ ไม่ต้องผ่านการพิสูจน์ตัวตน สามารถส่งแพ็กเก็ตที่ออกแบบมาเป็นพิเศษเข้าไปยังระบบผ่านเครือข่าย ทำให้เกิดเหตุการณ์ ปฏิเสธการให้บริการ (DoS) และส่งผลต่อเนื่องให้ไฟร์วอลล์หยุดประมวลผลทราฟฟิกและเข้าสู่โหมด “Maintenance”
ช่องโหว่นี้มีรหัส CVE-2026-0227 และได้รับการจัดอันดับความรุนแรงสูง (CVSS Base Score 8.7) ซึ่ง Palo Alto Networks ระบุว่ามีผลกระทบต่อ PAN-OS ที่เปิดใช้งาน GlobalProtect gateway หรือ portal เท่านั้น
หมายความว่าหากสภาพแวดล้อมเครือข่ายขององค์กรมีการใช้บริการ GlobalProtect อยู่ ช่องโหว่นี้จะเปิดโอกาสให้โจมตีได้สำเร็จมากขึ้น ขณะที่ระบบที่ไม่ได้ใช้ GlobalProtect จะไม่ถูกรบกวนจากบักนี้โดยตรง แม้จะยังคงต้องระมัดระวังทั่วไปอยู่เหมือนกัน
บริษัทระบุว่าจนถึงขณะนี้ยัง ไม่มีหลักฐานที่ยืนยันว่าช่องโหว่นี้ถูกใช้โจมตีในวงกว้างจริง ๆ แต่มีตัวอย่าง Proof-of-Concept (PoC) อยู่แล้ว ซึ่งบ่งชี้ว่าผู้โจมตีสามารถสร้างการโจมตีขึ้นได้ถ้ามีเจตนาและความเชี่ยวชาญพอ
ผลกระทบต่อองค์กรและแนวทางแก้ไขฉุกเฉิน
ผลกระทบจากช่องโหว่นี้ค่อนข้างชัดเจนต่อองค์กรที่ใช้งานไฟร์วอลล์ของ Palo Alto Networks โดยเฉพาะในส่วนที่เปิดใช้งาน GlobalProtect gateway หรือ portal เพราะหากระบบถูกโจมตีสำเร็จอาจทำให้ไฟร์วอลล์หยุดให้บริการ ปิดกั้นการไหลของทราฟฟิก และสร้างช่องว่างให้ระบบเครือข่ายขององค์กรเสี่ยงต่อการถูกแทรกแซงมากขึ้น การที่อุปกรณ์ต้องเข้าสู่โหมด Maintenance ต้องอาศัยการแก้ไขด้วยมือ ทำให้การบริการเครือข่ายชะงัก ซึ่งมีผลต่อทั้งการสื่อสารภายในและบริการภายนอกที่พึ่งพาไฟร์วอลล์ในการป้องกันภัยคุกคาม
Palo Alto ออกแพตช์แก้ไขมาแล้ว
โดยทาง Palo Alto Networks ได้ปล่อย แพตช์อัปเดต PAN-OS รุ่นล่าสุด ที่แก้ไขช่องโหว่นี้ออกมาเรียบร้อยแล้ว ผู้ดูแลระบบควร ตรวจสอบและอัปเกรดซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
โดยเฉพาะอุปกรณ์ที่ยังใช้ PAN-OS เวอร์ชันที่ได้รับผลกระทบ รวมถึงตรวจสอบการตั้งค่าการใช้งาน GlobalProtect ให้เหมาะสม ปิดใช้งานเฉพาะส่วนที่ไม่ได้ใช้จริงเพื่อจำกัดพื้นผิวการโจมตี และเฝ้าระวังทราฟฟิกที่ผิดปกติที่อาจเป็นสัญญาณของการโจมตี DoS ในอนาคต เพื่อให้ระบบเครือข่ายกลับมาปลอดภัยและพร้อมใช้งานในทุกสถานการณ์