Palo Alto Networks đã công bố một lỗ hổng CVE-2025-4619 loại từ chối dịch vụ (Denial-of-Service – DoS) trong phần mềm PAN-OS của họ. Lỗ hổng này cho phép kẻ tấn công buộc các tường lửa phải khởi động lại ngoài dự kiến bằng cách sử dụng các gói tin mạng được chế tạo đặc biệt.

Tổng quan về Lỗ hổng CVE-2025-4619

Lỗ hổng này được định danh là CVE-2025-4619, ảnh hưởng đến nhiều phiên bản của PAN-OS chạy trên các tường lửa PA-Series, VM-Series, cũng như các triển khai Prisma Access. Lỗi cho phép kẻ tấn công không cần xác thực kích hoạt khởi động lại tường lửa bằng cách gửi các gói tin độc hại qua mặt phẳng dữ liệu (data plane).

Điều đáng lo ngại hơn là các nỗ lực khai thác lặp đi lặp lại có thể đẩy tường lửa bị ảnh hưởng vào chế độ bảo trì. Điều này làm gián đoạn hiệu quả các hoạt động bảo mật mạng và khiến các tổ chức dễ bị tấn công tiềm tàng trong thời gian ngừng hoạt động. Đây là một rủi ro bảo mật nghiêm trọng đối với tính liên tục của dịch vụ.

Chi tiết kỹ thuật và Mức độ nghiêm trọng

Theo khuyến nghị bảo mật của Palo Alto Networks được công bố vào ngày 12 tháng 11 năm 2025, sự cố này ảnh hưởng rõ ràng đến các tường lửa được cấu hình chức năng URL proxy hoặc chính sách giải mã (decrypt policy).

Đáng chú ý, lỗ hổng CVE-2025-4619 có thể bị khai thác ngay cả khi lưu lượng truy cập không khớp với các chính sách giải mã hoặc không giải mã tường minh. Điều này mở rộng đáng kể bề mặt tấn công cho các tổ chức bị ảnh hưởng đang chạy các cấu hình tiêu chuẩn này.

Lỗ hổng mang điểm CVSS 6.6 (mức độ Trung bình) theo khung CVSS 4.0, với điểm cơ bản (base score) là 8.7. Lỗ hổng được phân loại có tác động cao đến tính khả dụng của sản phẩm (product availability) và độ phức tạp tấn công thấp (low attack complexity).

Việc khai thác không yêu cầu tương tác người dùng hoặc đặc quyền, khiến lỗ hổng CVE-2025-4619 trở nên đặc biệt nguy hiểm đối với các hệ thống tiếp xúc có thể truy cập từ internet hoặc các mạng không đáng tin cậy.

Các Phiên bản bị ảnh hưởng và Điều kiện Khai thác

Các phiên bản bị ảnh hưởng bao gồm nhiều bản phát hành PAN-OS cụ thể của PAN-OS 10.2, 11.1 và 11.2.

• PAN-OS 10.2: Các bản dựng cụ thể.
• PAN-OS 11.1: Các bản dựng cụ thể.
• PAN-OS 11.2: Các bản dựng cụ thể.

Palo Alto Networks đã nhấn mạnh rằng việc khai thác lỗ hổng CVE-2025-4619 yêu cầu tường lửa phải có một trong hai cấu hình: chức năng URL proxy hoặc một chính sách giải mã. Đây là các cấu hình tiêu chuẩn trong môi trường doanh nghiệp để lọc nội dung và kiểm tra SSL. Yêu cầu này giới hạn phạm vi, nhưng vẫn ảnh hưởng đến một số lượng đáng kể các triển khai sản xuất trên toàn thế giới dựa vào các tính năng bảo mật này.

Các phiên bản không bị ảnh hưởng

Các tổ chức đang chạy PAN-OS 10.1, PAN-OS 11.2.5 trở lên và các phiên bản PAN-OS 12.1 mới nhất không bị ảnh hưởng bởi vấn đề bảo mật này. Các triển khai Cloud NGFW cũng không dễ bị tổn thương bởi lỗ hổng CVE-2025-4619 cụ thể này.

Biện pháp Khắc phục và Bản vá bảo mật

Palo Alto Networks đã thực hiện các biện pháp chủ động để bảo vệ khách hàng Prisma Access, hoàn tất nâng cấp bảo mật cho phần lớn người dùng. Các khách hàng còn lại đối mặt với xung đột lịch trình hoặc vấn đề cửa sổ bảo trì sẽ được nâng cấp nhanh chóng thông qua quy trình nâng cấp tiêu chuẩn để đảm bảo bảo vệ toàn diện.

Đối với nhánh PAN-OS 11.2, việc nâng cấp lên 11.2.2-h2, 11.2.3-h6, 11.2.4-h4 hoặc 11.2.5 trở lên sẽ giải quyết được vấn đề. Người dùng PAN-OS 11.1 nên chuyển sang các phiên bản 11.1.2-h18 trở lên để được bảo vệ.

Các phiên bản sửa lỗi khuyến nghị:

• PAN-OS 11.2: Nâng cấp lên 11.2.2-h2, 11.2.3-h6, 11.2.4-h4, hoặc 11.2.5 trở lên.
• PAN-OS 11.1: Nâng cấp lên 11.1.2-h18 trở lên.

Tình trạng Khai thác và Khuyến nghị

Tính đến ngày công bố khuyến nghị, Palo Alto Networks báo cáo không có bằng chứng về việc khai thác độc hại tích cực nào trong thực tế đối với lỗ hổng CVE-2025-4619. Tuy nhiên, công ty đã phân loại mức độ trưởng thành của khai thác là “chưa được báo cáo” và gán xếp hạng khẩn cấp khắc phục ở mức trung bình.

Các tổ chức sử dụng các phiên bản PAN-OS bị ảnh hưởng nên ưu tiên áp dụng bản vá bảo mật lên các phiên bản đã sửa lỗi được khuyến nghị để ngăn chặn các gián đoạn dịch vụ tiềm tàng.

Việc công bố cảnh báo CVE này làm nổi bật những thách thức bảo mật liên tục mà các thiết bị hạ tầng mạng phải đối mặt và nhấn mạnh tầm quan trọng của việc duy trì các cấp độ vá lỗi hiện hành. Để biết thêm thông tin chi tiết, vui lòng tham khảo khuyến nghị bảo mật chính thức của Palo Alto Networks: CVE-2025-4619 Palo Alto Networks Security Advisory.