Nghiêm trọng: Chiếm quyền điều khiển Cortex XDR qua lỗ hổng

Phát hiện nghiên cứu gần đây đã chỉ ra rằng tính năng Live Terminal của Palo Alto Networks Cortex XDR có thể bị kẻ tấn công lợi dụng để thiết lập một kênh Command-and-Control (C2). Khả năng

chiếm quyền điều khiển

thông qua một tác nhân EDR (Endpoint Detection and Response) đáng tin cậy khiến việc phát hiện và ngăn chặn mối đe dọa này trở nên đặc biệt khó khăn đối với các công cụ bảo mật doanh nghiệp.

Tổng quan về Cortex XDR Live Terminal

Cortex XDR Live Terminal là một tính năng quản lý từ xa hợp pháp. Chức năng chính của nó là cho phép các đội ngũ bảo mật thực thi lệnh CLI, chạy các script PowerShell và Python, duyệt tệp tin và quản lý tiến trình trên các điểm cuối từ một bảng điều khiển trung tâm.

Tính năng này hoạt động thông qua các kết nối WebSocket với hạ tầng đám mây của Palo Alto Networks. Lưu lượng truy cập do Live Terminal tạo ra thường được các công cụ bảo mật doanh nghiệp chấp nhận, do nó đến từ một tác nhân EDR đã được tin cậy.

Phân tích Kỹ thuật về

Lỗ hổng Bảo Mật

và Cơ chế Khai thác

Thiếu xác thực lệnh trong giao thức WebSocket

Các nhà nghiên cứu đã phát hiện ra rằng giao thức cơ bản của tính năng này thiếu cơ chế ký lệnh (command signing). Điều này có nghĩa là không có bước kiểm tra nào để xác minh rằng các hướng dẫn thực sự đến từ một quản trị viên hợp pháp.

Bất kỳ kẻ tấn công nào có khả năng chặn tin nhắn WebSocket ban đầu đều có thể chuyển hướng kết nối của điểm cuối đến một máy chủ mà chúng kiểm soát.

Các nhà nghiên cứu của InfoGuard Labs đã chỉ ra rằng do cortex-xdr-payload.exe — thành phần phía client của Live Terminal — đã được công cụ EDR tin cậy, các lệnh được thực thi qua kênh này có thể bỏ qua các quy tắc phát hiện và ngăn chặn truyền thống. Bạn có thể xem chi tiết nghiên cứu gốc tại InfoGuard Labs.

Điều này biến nó thành một kỹ thuật “Living off the Land” (LotL) mạnh mẽ. Trong kỹ thuật này, kẻ tấn công sử dụng các công cụ đã có sẵn trên hệ thống thay vì triển khai phần mềm độc hại mới, giảm thiểu dấu vết và khả năng bị phát hiện.

Các phương pháp khai thác lỗ hổng

Nghiên cứu đã phác thảo hai phương pháp chính để lạm dụng tính năng này:

• Tấn công giữa các tenant (Cross-tenant attack): Kẻ tấn công sử dụng Cortex tenant của riêng mình để tạo một session token hợp lệ, sau đó chuyển hướng điểm cuối của nạn nhân để kết nối trở lại tenant do kẻ tấn công kiểm soát.
• Tạo máy chủ tùy chỉnh: Phương pháp này liên quan đến việc tạo một máy chủ tùy chỉnh sao chép giao thức giao tiếp WebSocket. Điều này yêu cầu rất ít công việc phát triển dựa trên lưu lượng truy cập đã bị bắt giữ.

Lỗi logic trong quá trình xác thực URL

Khi một phiên Live Terminal được khởi động, một tin nhắn WebSocket được gửi từ đám mây của Palo Alto đến tác nhân Cortex. Tin nhắn này chứa các đối số dòng lệnh hướng dẫn tác nhân khởi chạy cortex-xdr-payload.exe với các giá trị máy chủ và mã thông báo cụ thể.

Các nhà nghiên cứu đã dịch ngược file thực thi này bằng cách sử dụng công cụ trích xuất PyInstaller và trình dịch ngược pylingual, phát hiện ra rằng nó là một ứng dụng Python 3.12.

Trong mã đã dịch ngược, một lỗi logic đáng kể được tìm thấy trong cách địa chỉ máy chủ được xác thực. Hàm run_lrc_payload kiểm tra xem giá trị máy chủ có kết thúc bằng .paloaltonetworks.com hay không. Tuy nhiên, việc kiểm tra này được chạy đối với toàn bộ chuỗi URL chứ không phải chỉ tên máy chủ (hostname).

Điều này có nghĩa là một URL được chế tạo khéo léo như attacker.com/test.paloaltonetworks.com sẽ vượt qua kiểm tra và kết nối với một máy chủ thuộc sở hữu của kẻ tấn công, cho phép kẻ tấn công chiếm quyền điều khiển. Ví dụ về cách thức hoạt động của loại lỗ hổng này có thể được tìm thấy trong các bài viết về URL phishing.

Kịch bản tấn công Cross-Tenant chi tiết

Trong cuộc tấn công giữa các tenant, kẻ tấn công chặn WebSocket session token trước khi nó đến máy của chính họ, sau đó sử dụng nó trên điểm cuối của nạn nhân. Máy của nạn nhân kết nối với Cortex tenant của kẻ tấn công, chuyển toàn bộ quyền truy cập Live Terminal thông qua GUI chính thức.

Tác động và

Mối Đe Dọa Mạng

Tác động của lỗ hổng này là nghiêm trọng đối với bất kỳ doanh nghiệp nào đang sử dụng Cortex XDR. Một khi kẻ tấn công có được quyền truy cập ban đầu, chúng có thể sử dụng kỹ thuật này để duy trì quyền chiếm quyền điều khiển liên tục và ẩn danh trên các điểm cuối bị xâm nhập mà không cần triển khai thêm bất kỳ công cụ nào.

Lưu lượng mạng được tạo ra bởi kỹ thuật này hòa lẫn với lưu lượng tác nhân Cortex bình thường và thường bị loại trừ khỏi quá trình kiểm tra TLS. Điều này cho phép kẻ tấn công thực hiện các lệnh, di chuyển ngang (lateral movement) và thu thập tệp tin với rất ít dấu vết.

Phát hiện và Biện pháp Giảm thiểu

Chiến lược phát hiện sớm

Mặc dù lỗ hổng kỹ thuật cho phép bỏ qua các lớp bảo mật, vẫn có một số dấu hiệu đáng ngờ mà các đội ngũ bảo mật nên theo dõi.

Quá trình hợp lệ cho cortex-xdr-payload.exe phải là cyserver.exe. Bất kỳ sự sai lệch nào từ quy trình này đều nên được coi là đáng ngờ. Cụ thể, các nhóm bảo mật nên theo dõi các sự kiện tạo tiến trình và gắn cờ bất kỳ trường hợp nào trong đó cortex-xdr-payload.exe được khởi chạy bởi một tiến trình cha (parent process) khác ngoài cyserver.exe.

Ví dụ, việc theo dõi các sự kiện này có thể được thực hiện thông qua các công cụ SIEM hoặc các tính năng ghi nhật ký của EDR. Cần tạo ra các quy tắc cảnh báo cho các trường hợp bất thường này. Dưới đây là ví dụ về một truy vấn có thể được sử dụng trong một số hệ thống quản lý nhật ký:

(process_name: "cortex-xdr-payload.exe") AND NOT (parent_process_name: "cyserver.exe")

Trạng thái bản vá và khuyến nghị cho Palo Alto Networks

Palo Alto Networks đã được thông báo về những phát hiện này vào ngày 30 tháng 9 năm 2025, và sau đó cho biết các phiên bản 8.7 đến 8.9 đã có bản sửa lỗi. Tuy nhiên, các thử nghiệm được thực hiện vào ngày 23 tháng 2 năm 2026, sử dụng phiên bản 8.9.1 với các bản cập nhật nội dung mới nhất, vẫn cho thấy khả năng lạm dụng và bỏ qua máy chủ vẫn hoạt động hoàn toàn, cho thấy chưa có bản sửa lỗi thực sự hiệu quả.

Việc dựa vào cách tiếp cận chỉ phát hiện dựa trên các quy tắc về tiến trình cha là không đủ để giải quyết triệt để vấn đề này. Kiến trúc của tính năng cần được thiết kế lại theo hướng bảo mật theo thiết kế (secure-by-design) để loại bỏ khả năng lạm dụng tương tự ở cấp độ giao thức.

Palo Alto Networks cần thực hiện xác thực lẫn nhau (mutual authentication) và ký lệnh mã hóa (cryptographic command signing) trong giao thức Live Terminal. Điều này sẽ đảm bảo rằng chỉ các lệnh được ủy quyền từ các nguồn đáng tin cậy mới có thể được thực thi, ngăn chặn kẻ tấn công có thể chiếm quyền điều khiển kênh giao tiếp.

Việc triển khai các biện pháp bảo mật mạnh mẽ ở cấp độ giao thức là rất quan trọng để bảo vệ các hệ thống khỏi những mối đe dọa mạng tinh vi như thế này.