-
09/04/2020
-
99
-
853 bài viết
Palo Alto cảnh báo hai lỗ hổng cho phép chạy lệnh Root trên PAN-OS
Palo Alto Networks vừa công bố hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến hệ điều hành tường lửa PAN-OS, cho phép kẻ tấn công thực thi lệnh với đặc quyền Root, gây rủi ro lớn nếu hệ thống không được cấu hình bảo mật đúng cách.
Hai lỗ hổng lần lượt là CVE-2025-4230 và CVE-2025-4231, cả hai lỗ hổng đều thuộc nhóm Command Injection, phát sinh từ việc xử lý không an toàn các ký tự đặc biệt trong lệnh hệ điều hành.
Ngược lại, CVE-2025-4231 tác động lên giao diện quản trị web, với điểm CVSS ban đầu là 6,1, nhưng có thể tăng lên đến 8,6 nếu giao diện này được mở truy cập công khai trên Internet. Lỗ hổng này cũng yêu cầu đăng nhập tài khoản quản trị, tuy nhiên việc khai thác được thực hiện qua trình duyệt web thay vì CLI.
Cả hai lỗ đều đòi hỏi quyền truy cập quản trị hợp lệ, đây là yếu tố vừa là rào cản khai thác vừa là điểm yếu nếu tài khoản bị lộ và bị cấu hình sai hoặc lạm dụng.
Mặc dù hiện chưa ghi nhận trường hợp khai thác lỗ hổng ngoài thực tế, hai lỗ hổng CVE-2025-4230 và CVE-2025-4231 vẫn đặt ra rủi ro nghiêm trọng nếu rơi vào tay kẻ xấu. Việc yêu cầu quyền quản trị để khai thác không phải là tấm khiên bảo vệ tuyệt đối, bởi một tài khoản bị đánh cắp hoặc cấu hình sai cũng có thể trở thành “chìa khóa” mở cửa hệ thống.
Để giảm thiểu rủi ro, các tổ chức cần:
Hai lỗ hổng lần lượt là CVE-2025-4230 và CVE-2025-4231, cả hai lỗ hổng đều thuộc nhóm Command Injection, phát sinh từ việc xử lý không an toàn các ký tự đặc biệt trong lệnh hệ điều hành.
Hai lỗ hổng cùng kiểu khai thác nhưng khác điểm tấn công
Lỗ hổng CVE-2025-4230 ảnh hưởng đến giao diện dòng lệnh (CLI) của PAN-OS, cho phép người dùng có tài khoản quản trị đã xác thực vượt qua giới hạn hệ thống và thực thi các lệnh với quyền root. Lỗ hổng phát sinh do xử lý không an toàn các ký tự đặc biệt trong lệnh và được đánh giá có mức độ nguy hiểm trung bình (CVSS 5,7), nhưng có thể nghiêm trọng hơn trong môi trường thiếu kiểm soát chặt chẽ quyền truy cập CLI.Ngược lại, CVE-2025-4231 tác động lên giao diện quản trị web, với điểm CVSS ban đầu là 6,1, nhưng có thể tăng lên đến 8,6 nếu giao diện này được mở truy cập công khai trên Internet. Lỗ hổng này cũng yêu cầu đăng nhập tài khoản quản trị, tuy nhiên việc khai thác được thực hiện qua trình duyệt web thay vì CLI.
Cả hai lỗ đều đòi hỏi quyền truy cập quản trị hợp lệ, đây là yếu tố vừa là rào cản khai thác vừa là điểm yếu nếu tài khoản bị lộ và bị cấu hình sai hoặc lạm dụng.
Phiên bản bị ảnh hưởng và cập nhật vá lỗi
CVE-2025-4230 (CLI) ảnh hưởng đến các phiên bản:- PAN-OS 11.2 → cập nhật lên 11.2.6
- PAN-OS 11.1 → cập nhật lên 11.1.10
- PAN-OS 10.2 → cập nhật lên 10.2.14
- PAN-OS 10.1 → cập nhật lên 10.1.14-h15
- PAN-OS 11.0 → cập nhật lên 11.0.3
- PAN-OS 10.2 → cập nhật lên 10.2.8
- PAN-OS 10.1 → không còn được hỗ trợ, cần nâng cấp lên phiên bản mới hơn
Mặc dù hiện chưa ghi nhận trường hợp khai thác lỗ hổng ngoài thực tế, hai lỗ hổng CVE-2025-4230 và CVE-2025-4231 vẫn đặt ra rủi ro nghiêm trọng nếu rơi vào tay kẻ xấu. Việc yêu cầu quyền quản trị để khai thác không phải là tấm khiên bảo vệ tuyệt đối, bởi một tài khoản bị đánh cắp hoặc cấu hình sai cũng có thể trở thành “chìa khóa” mở cửa hệ thống.
Để giảm thiểu rủi ro, các tổ chức cần:
- Giới hạn quyền truy cập CLI và giao diện web quản trị chỉ trong mạng nội bộ tin cậy
- Tuyệt đối không công khai giao diện quản trị ra Internet
- Sử dụng Jump Box hoặc VPN để kiểm soát truy cập từ xa
- Cập nhật phần mềm ngay nếu hệ thống nằm trong danh sách ảnh hưởng
Theo Cyber Press