Một

lỗ hổng CVE

mới được công bố trong ứng dụng GlobalProtect của Palo Alto Networks cho phép kẻ tấn công leo thang đặc quyền và cài đặt phần mềm độc hại. Lỗ hổng này, thông qua việc xác thực chứng chỉ không đúng cách, có thể dẫn đến việc kiểm soát hệ thống bị ảnh hưởng. Đây là một

cảnh báo CVE

quan trọng cho các tổ chức sử dụng giải pháp VPN này.

Phân tích

Lỗ hổng CVE

và Cơ chế Khai thác

Lỗ hổng bảo mật này được theo dõi với mã định danh CVE-2025-2183, đã được công bố vào ngày 13 tháng 8 năm 2025. Nó ảnh hưởng đến nhiều phiên bản của ứng dụng VPN phổ biến trên nền tảng Windows và Linux.

Nguyên nhân gốc rễ của

lỗ hổng CVE

này nằm ở việc xác thực chứng chỉ không đầy đủ trong ứng dụng GlobalProtect. Điều này cho phép kẻ tấn công chuyển hướng ứng dụng kết nối đến các máy chủ tùy ý mà chúng kiểm soát.

Điểm yếu bảo mật này đặc biệt ảnh hưởng đến người dùng cục bộ không có quyền quản trị và kẻ tấn công có vị trí trên cùng mạng hoặc mạng con với hệ thống mục tiêu. Chúng có thể khai thác lỗ hổng để cài đặt chứng chỉ gốc độc hại lên các điểm cuối.

Sau khi các chứng chỉ giả mạo này được cài đặt, kẻ tấn công có thể triển khai phần mềm độc hại được ký bằng chính các cơ quan chứng nhận của chúng. Điều này giúp chúng bỏ qua các kiểm soát bảo mật tiêu chuẩn, dẫn đến nguy cơ

chiếm quyền điều khiển

hệ thống.

Vector tấn công được phân loại là “adjacent”. Điều này có nghĩa là kẻ tấn công cần có sự gần gũi về mạng với hệ thống mục tiêu, thay vì truy cập từ xa qua internet. Thông tin chi tiết về lỗ hổng có thể tìm thấy trên NVD – National Vulnerability Database.

Đánh giá Mức độ Nghiêm trọng của

Lỗ hổng CVE

Palo Alto Networks đã gán cho

lỗ hổng CVE

này điểm CVSS 4.5, xếp loại mức độ nghiêm trọng trung bình với mức độ khẩn cấp vừa phải. Mặc dù có tính phức tạp kỹ thuật, công ty báo cáo chưa có bằng chứng về việc khai thác tích cực trong thực tế.

Lỗ hổng CVE

được phát hiện thông qua nghiên cứu bảo mật nội bộ của chính Palo Alto Networks. Để biết thêm thông tin, người dùng có thể tham khảo Security Advisory của Palo Alto Networks.

Hệ thống và Phiên bản Bị Ảnh hưởng

Lỗ hổng CVE

này tác động đến các phiên bản ứng dụng GlobalProtect trên nhiều nền tảng. Hệ thống Windows và Linux phải đối mặt với rủi ro chính. Các phiên bản Android, iOS và macOS không bị ảnh hưởng bởi vấn đề bảo mật cụ thể này.

• Windows: Các phiên bản GlobalProtect App trước 6.3.3-h2 và 6.2.8-h3.
• Linux: Các phiên bản GlobalProtect App trước 6.3.3.

Biện pháp Khắc phục và

Bản vá Bảo mật

Palo Alto Networks đã phát hành các bản cập nhật bảo mật để khắc phục

lỗ hổng CVE

này. Các bản vá nóng (hotfix) cụ thể đã có sẵn cho các phiên bản bị ảnh hưởng.

Cập nhật Phần mềm

Người dùng Windows nên nâng cấp lên GlobalProtect App 6.3.3-h2 hoặc 6.2.8-h3, tùy thuộc vào phiên bản hiện tại của họ. Người dùng Linux cần phiên bản 6.3.3 trở lên để nhận được

bản vá bảo mật

đầy đủ.

Các Thay đổi Cấu hình Bổ sung

Ngoài các bản

cập nhật bản vá

phần mềm, các tổ chức phải triển khai các thay đổi cấu hình bổ sung để bảo vệ hoàn toàn chống lại việc khai thác

lỗ hổng CVE

này. Các biện pháp này bao gồm:

• Đảm bảo các chứng chỉ cổng (portal) và cổng kết nối (gateway) được xác thực thông qua kho chứng chỉ của hệ điều hành.
• Xóa các chứng chỉ khỏi danh sách “Trusted Root CA” (Cơ quan Chứng nhận Gốc Tin cậy) nếu không cần thiết hoặc không rõ nguồn gốc.
• Kích hoạt kiểm tra chứng chỉ nghiêm ngặt (strict certificate checking) trên ứng dụng GlobalProtect.

Tầm quan trọng của Xác thực Chứng chỉ trong An ninh Mạng

Lỗ hổng CVE

này một lần nữa nhấn mạnh tầm quan trọng thiết yếu của việc xác thực chứng chỉ đúng cách trong các ứng dụng bảo mật doanh nghiệp. Điều này đặc biệt đúng đối với các giải pháp VPN. VPN đóng vai trò là điểm truy cập mạng chính cho người dùng từ xa, nên việc bảo đảm

an toàn thông tin

cho chúng là tối quan trọng. Việc lơ là trong quản lý và xác thực chứng chỉ có thể mở ra những cánh cửa không mong muốn cho kẻ tấn công, tiềm ẩn

rủi ro bảo mật

nghiêm trọng cho toàn bộ hệ thống mạng của tổ chức.