ក្រុមហ៊ុនសន្តិសុខ Palo Alto Networks បានព្រមានថា ហេគឃ័រកំពុងតែបំពានលើបញ្ហាឆ្លងកាត់ការផ្ទៀងផ្ទាត់ PAN-OS GlobalProtect ដែលមានឈ្មោះថា CVE-2026-0257 នៅក្នុងការវាយប្រហារប៉ុនប៉ងបំពានលើបណ្តាញណិតវើកសហគ្រាស។ក្រុមហ៊ុនបានដោះស្រាយបញ្ហា CVE-2026-0257 កាលពីដើមខែនេះ ដោយបានព្រមានថា បញ្ហានេះត្រូវបានប្រើសម្រាប់បង្កើតការភ្ជាប់ VPN ដែលគ្មានការអនុញ្ញាតទៅកាន់ឧបករណ៍។ ក្រុមហ៊ុនបានណែនាំថា GlobalProtect Portal និង Gateway របស់កម្មវិធី Palo Alto Networks PAN-OS បានអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចឆ្លងកាត់ការរឹតបន្តឹង និងភ្ជាប់ VPN ដែលគ្មានសិទ្ធិ។
ទោះជាយ៉ាងណា ក្រុមហ៊ុនបានធ្វើបច្ចុប្បន្នភាពអំពីការព្រមានថា បញ្ហានេះបច្ចុប្បន្នកំពុងតែត្រូវបានបំពាននៅក្នុងការវាយប្រហារលើឧបករណ៍ដែលមិនបាន Patched។ក្រុមហ៊ុនបានបន្ថែមថា ក្រុមហ៊ុនបានដឹងពីការប៉ុនប៉ងបំពានលើឧបករណ៍ PAN-OS ដែលមិនបាន Patch ដោយបញ្ហានេះ។ បច្ចុប្បន្នភាពនេះធ្វើឡើងបន្ទាប់ពីក្រុមហ៊ុន Rapid7 បានព្រមានថា ខ្លួនបានសង្កេតឃើញបញ្ហានេះត្រូវបានបំពានលើអតិថិជនជាច្រើនចាប់ពីពាក់កណ្តាលខែឧសភាមក។ ក្រុមហ៊ុន Rapid7 បានពន្យល់ថា ក្រុមហ៊ុនបានរកឃើញការបំពានជោគជ័យលើអតិថិជនជាច្រើននាក់ ទោះជាក្រុមហ៊ុនមិនបានរកឃើញសញ្ញាណាមួយនៃចលនាក្រោយការបំពានក្តី។ នៅចុងខែឧសភា ភាពងាយរងគ្រោះនេះត្រូវបានបន្ថែមទៅក្នុងបញ្ជី CISA KEV។
យោងតាមក្រុមហ៊ុន Rapid7 បានឱ្យដឹងថា ការវាយប្រហារចាប់ផ្តើមដោយហេគឃ័របានផ្ទៀងផ្ទាត់ GlobalProtect Gateways ដោយប្រើ Cookies ផ្ទៀងផ្ទាត់ក្លែងក្លាយ ដែលមានគោលដៅលើគណនីអ្នកគ្រប់គ្រងក្នុងតំបន់ (Local Admin)។ ដំបូង ក្រុមហ៊ុនបានសង្កេតឃើញពីការបំពាននៅពាក់កណ្តាលខែឧសភា ពីហេដ្ឋារចនាសម្ព័ន្ធដែលបានបង្ហោះដោយ Vultr ជាមួយនឹងរលកនៃការវាយប្រហារដែលបានរកឃើញកាលពីថ្ងៃទី២១ ខែឧសភា ដែលមានប្រភពចេញពី Dromantics Systems។ នៅក្នុងករណីខ្លះ អ្នកវាយប្រហារអាចភ្ជាប់ទៅកាន់ឧបករណ៍តាមរយៈ VPN ដោយប្រើ Cookies ក្លែងក្លាយ ដែលផ្តល់សិទ្ធិឱ្យពួកគេចូលប្រើបណ្តាញណិតវើកខាងក្នុង។ ទោះជាយ៉ាងណា ក្រុមហ៊ុន Rapid7 បានថ្លែងថា នៅក្នុងឧប្បត្តិហេតុជាច្រើនបើទោះជា ឧបករណ៍បានទទួល Cookie ក្លែងក្លាយក្តី ពួកគេមិនអាចបង្កើត Full VPN Session បានទេ។ ការស៊ើបអង្កេតរបស់ក្រុមហ៊ុន Rapid7 បានរកឃើញផលប៉ះពាល់លើអតិថិជន ដោយសារភាពងាយរងគ្រោះនៅលើឧបករណ៍មានមុខងារ GlobalProtect បើកឱ្យប្រើ Cookies និងចងចាំការផ្ទៀងផ្ទាត់ ដែលនាំឱ្យអ្នកវាយប្រហារអាចបង្កើត Cookies ក្លែងក្លាយបាន។
អ្នកស្រាវជ្រាវបានថ្លែងថា បញ្ហានេះមានប្រភពមកពី Cookies ផ្ទៀងផ្ទាត់មានសុពលភាពរបស់ PAN-OS។ ឧបករណ៍ GlobalProtect VPN ឌីគ្រីប Cookies ប្រភេទនេះ ដោយប្រើ Configured Private Key បន្ទាប់មកទុកចិត្តលើ Contents ដែលបានឌីគ្រីបដោយមិនផ្ទៀងផ្ទាត់អត្តសញ្ញាណទៀតទេ។ ប្រសិនបើអត្តសញ្ញាណដដែលនេះត្រូវបានប្រើសម្រាប់ HTTPS Services និងការផ្ទៀងផ្ទាត់ Cookies នោះ អ្នកវាយប្រហារអាចរក្សាទុក Public Key តាមរយៈ HTTPS Session ក្រោយមកប្រើវាសម្រាប់បង្កើត Cookies ក្លែងក្លាយដែលឧបករណ៍នឹងចាត់ទុកថាស្របច្បាប់។ ក្រុមហ៊ុន Rapid7 បានបង្ហាញពីការបំពាន ដែលចង្អុលប្រាប់ពីរបៀបដែលអ្នកវាយប្រហារអាចចាប់យក អត្តសញ្ញាណសាធារណៈ (Public Certificates) ដែលបានលាតត្រដាងដោយ GlobalProtect Portal ឬ Gateway បង្កើត Cookie ផ្ទៀងផ្ទាត់ក្លែងក្លាយសម្រាប់អ្នកប្រើប្រាស់ និងផ្ទៀងផ្ទាត់ដោយមិនចាំបាច់មានឈ្មោះត្រឹមត្រូវ។ ការប្រើ PoC នេះ អ្នកស្រាវជ្រាវបានផ្ទៀងផ្ទាត់ GlobalProtect Gateway ដែលមិនបាន Patch ដោយជោគជ័យ។ ស្ថាប័នដែលប្រើ GlobalProtect VPN Devices គួរតែដំឡើងបច្ចុប្បន្នភាពសុវត្ថិភាពចុងក្រោយភ្លាមៗ ដើម្បី Patch បញ្ហាទាំងនេះ។ អ្នកគ្រប់គ្រងអាចកាត់បន្ថយហានិភ័យដោយបិទ (Turn Off) មុខងារផ្ទៀងផ្ទាត់ ឬប្រើអត្តសញ្ញាណសម្រាប់ផ្ទៀងផ្ទាត់ផ្សេងសម្រាប់មុខងារនេះ ហើយមិនត្រូវចែករំលែកវាជាមួយសេវាផ្សេងនៅលើឧបករណ៍ទេ។ ភ្នាក់ងារ CISA បានបន្ថែមបញ្ហានេះទៅក្នុងបញ្ជី Known Exploited Vulnerability Catalog ដោយបញ្ជាឱ្យភ្នាក់ងារសហព័ន្ធកាត់បន្ថយបញ្ហានេះត្រឹមដើមខែមិថុនា ឆ្នាំ២០២៦។
ប្រភព BleepingComputer ចុះផ្សាយថ្ងៃទី៣០ ខែឧសភា ឆ្នាំ២០២៦
