Lỗ hổng được theo dõi với mã CVE-2026-0227, ảnh hưởng đến các tường lửa thế hệ mới (chạy PAN-OS 10.1 trở lên) và cấu hình Prisma Access của Palo Alto Metworks khi gateway hoặc cổng portal GlobalProtect được kích hoạt.

Công ty an ninh mạng cho biết hầu hết các phiên bản Prisma Access dựa trên nền tảng đám mây đã được vá lỗi, trong khi những phiên bản còn lại cần được bảo mật đã được lên kế hoạch nâng cấp.

“Lỗ hổng trong phần mềm PAN-OS của Palo Alto Networks cho phép kẻ tấn công không cần xác thực gây ra tấn công Dos vào tường lửa. Nhiều lần cố gắng kích hoạt sự cố này sẽ khiến tường lửa chuyển sang chế độ bảo trì. Chúng tôi đã hoàn tất việc nâng cấp Prisma Access, các khách hàng còn lại đang được lên lịch thực hiện thông qua quy trình nâng cấp tiêu chuẩn của chúng tôi”, Palo Alto Networks giải thích.

Tổ chức giám sát an ninh mạng Shadowserver hiện đang theo dõi gần 6.000 tường lửa Palo Alto Networks bị lộ thông tin trực tuyến, mặc dù không có thông tin nào về việc bao nhiêu trong số đó có cấu hình dễ bị tổn thương hoặc đã được vá lỗi.

Tường lửa Palo Alto Networks bị lộ thông tin trực tuyến

Đến nay, công ty cho biết họ vẫn chưa tìm thấy bằng chứng nào cho thấy lỗ hổng này đang bị khai thác trong các cuộc tấn công.

Palo Alto Networks đã phát hành các bản cập nhật bảo mật cho tất cả các phiên bản bị ảnh hưởng, đồng thời khuyến nghị các quản trị viên nên nâng cấp lên phiên bản mới nhất để bảo vệ hệ thống của họ trước các cuộc tấn công tiềm tàng.

Tường lửa của Palo Alto Networks thường xuyên trở thành mục tiêu của các cuộc tấn công, thường sử dụng các lỗ hổng bảo mật chưa được công bố hoặc vá lỗi. Vào tháng 11/2024, Palo Alto Networks đã vá hai lỗ hổng zero-day trên tường lửa PAN-OS đang bị khai thác tích cực, cho phép kẻ tấn công giành được quyền quản trị.

Vài ngày sau, Shadowserver tiết lộ rằng hàng nghìn tường lửa bị xâm phạm trong chiến dịch này (mặc dù công ty cho biết các cuộc tấn công chỉ ảnh hưởng đến “một số lượng rất nhỏ”), trong khi Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) yêu cầu các cơ quan liên bang phải bảo mật thiết bị của họ trong vòng 3 tuần.

Một tháng sau, vào tháng 12/2024, công ty an ninh mạng cảnh báo khách hàng rằng tin tặc đang khai thác một lỗ hổng DoS khác của PAN-OS (CVE-2024-3393) để nhắm mục tiêu vào các tường lửa dòng PA-Series, VM-Series và CN-Series có bật tính năng ghi nhật ký bảo mật DNS, buộc chúng phải khởi động lại và vô hiệu hóa các biện pháp bảo vệ của tường lửa.

Ngay sau đó, Palo Alto Networks cho biết ba lỗ hổng khác (CVE-2025-0111, CVE-2025-0108 và CVE-2024-9474) đang được kết hợp trong các cuộc tấn công nhằm xâm phạm tường lửa PAN-OS.

Gần đây, công ty tình báo về mối đe dọa GreyNoise phát đi cảnh báo về một chiến dịch tự động nhắm mục tiêu vào các cổng Palo Alto GlobalProtect bằng các cuộc tấn công Brute Force và các nỗ lực đăng nhập từ hơn 7.000 địa chỉ IP.