Hàng nghìn tường lửa doanh nghiệp trên toàn cầu đang rơi vào tình trạng báo động đỏ. Palo Alto Networks, một trong những gã khổng lồ bảo mật mạng hàng đầu thế giới, vừa xác nhận lỗ hổng zero-day CVE-2026-0300 đang bị khai thác tích cực bởi các hacker. Điều đáng lo ngại hơn cả là lỗ hổng này tồn tại ngay trong dịch vụ Captive Portal của phần mềm PAN-OS trên các dòng tường lửa PA Series và VM Series - những sản phẩm được hàng triệu doanh nghiệp tin tưởng để bảo vệ hạ tầng mạng quan trọng.

Cuộc tấn công đã bắt đầu từ khi nào?

CVE-2026-0300 - mã định danh lỗ hổng bảo mật theo tiêu chuẩn quốc tế - đã được các nhóm hacker phát hiện và khai thác trước cả khi Palo Alto Networks kịp nhận ra. Đây chính là định nghĩa của một cuộc tấn công zero-day (ngày số không): khi kẻ tấn công biết về lỗ hổng nhưng nhà sản xuất chưa kịp vá. Captive Portal, dịch vụ thường được dùng để xác thực người dùng khi truy cập mạng WiFi công cộng hoặc doanh nghiệp, đã trở thành cánh cửa bí mật cho tin tặc xâm nhập.

Chúng tôi đánh giá đây là một trong những sự kiện an ninh mạng nghiêm trọng nhất trong năm 2024. Việc một lỗ hổng trên sản phẩm bảo mật được tin tưởng nhất lại bị khai thác để tấn công chính là điều mà mọi CISO (Chief Information Security Officer - Giám đốc An ninh Thông tin) lo sợ nhất. Tình huống này gợi nhớ đến vụ SolarWinds năm 2020, khi phần mềm bảo mật lại trở thành con đường để hacker xâm nhập hàng nghìn tổ chức.

Tại sao lỗ hổng này lại nguy hiểm đến vậy?

Captive Portal hoạt động như một "cửa ngõ kiểm soát" - người dùng phải đăng nhập qua trang web này trước khi truy cập internet. Khi lỗ hổng CVE-2026-0300 bị khai thác, hacker có thể chiếm quyền điều khiển toàn bộ tường lửa từ thành phần này. Điều đáng sợ là Captive Portal thường được cấu hình để người dùng bên ngoài có thể truy cập, tạo ra một "cánh cửa hậu" hoàn hảo cho kẻ tấn công.

Các chuyên gia bảo mật quốc tế nhận định rằng lỗ hổng này có thể cho phép Remote Code Execution (RCE - thực thi mã từ xa), nghĩa là hacker có thể chạy bất kỳ lệnh nào trên hệ thống tường lửa. Một khi đã kiểm soát được tường lửa, kẻ tấn công sẽ có "chìa khóa vạn năng" để truy cập toàn bộ mạng nội bộ doanh nghiệp, đánh cắp dữ liệu nhạy cảm hoặc triển khai ransomware.

Quy mô tác động có thể lên đến hàng triệu hệ thống

Palo Alto Networks hiện chiếm khoảng 15% thị phần tường lửa toàn cầu với hơn 85,000 khách hàng doanh nghiệp. Theo thống kê của Shodan - công cụ tìm kiếm thiết bị IoT, có khoảng 2.3 triệu thiết bị Palo Alto Networks được kết nối internet công khai. Tuy không phải tất cả đều chạy Captive Portal, nhưng con số thiết bị tiềm ẩn rủi ro vẫn có thể lên đến hàng trăm nghìn.

Tại Việt Nam, nhiều ngân hàng, tập đoàn viễn thông và doanh nghiệp công nghệ lớn đang sử dụng giải pháp tường lửa của Palo Alto Networks. Chúng tôi nhận định rằng ít nhất 200-300 tổ chức trong nước có thể đang trong tình trạng nguy hiểm nếu chưa kịp thời cập nhật bản vá bảo mật.

Hành động khẩn cấp các doanh nghiệp cần thực hiện ngay

Các quản trị viên hệ thống cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra xem có đang sử dụng tính năng Captive Portal hay không bằng cách truy cập vào giao diện quản trị tường lửa, vào mục Device > Setup > Management > General Settings. Nếu thấy Captive Portal được kích hoạt, hãy tạm thời tắt tính năng này cho đến khi có bản vá chính thức từ Palo Alto Networks.

Bước tiếp theo là giám sát log hệ thống để phát hiện các dấu hiệu bất thường. Cần đặc biệt chú ý đến các kết nối từ địa chỉ IP lạ đến cổng quản trị hoặc Captive Portal. Cuối cùng, thiết lập cảnh báo tự động khi Palo Alto Networks phát hành bản vá và triển khai ngay lập tức. Theo kinh nghiệm của chúng tôi, những lỗ hổng zero-day như thế này thường được khai thác ồ ạt trong vòng 48-72 giờ đầu sau khi công bố, do đó thời gian vàng để bảo vệ hệ thống đang dần cạn kiệt.