أعلنت شركة بالو ألتو نتوركس، المتخصصة في الأمن السيبراني، عن اكتشاف محاولات لاستغلال ثغرة أمنية حرجة حديثة في برمجيات الشركة، مشيرة إلى أن هذه المحاولات قد تكون بدأت في 9 أبريل 2026.
وتطال هذه الثغرة الأمنية، المعروفة بالرمز CVE-2026-0300، خدمة بوابة المصادقة في نظام التشغيل PAN-OS، وتسمح للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية عشوائية بمستويات صلاحيات مرتفعة. ويأتي هذا الاكتشاف ليلقي الضوء على التحديات المستمرة التي تواجه المؤسسات في تأمين بنيتها التحتية الرقمية.
ثغرة أمنية حرجة في PAN-OS
تُعد ثغرة CVE-2026-0300 من الثغرات الخطيرة، حيث يبلغ تصنيفها 9.3/8.7 وفقاً لمقياس CVSS، مما يعكس درجة خطورتها العالية. وتكمن المشكلة في وجود فيض في المخزن المؤقت (buffer overflow) في بوابة الخدمات المسؤولة عن مصادقة المستخدمين ضمن نظام PAN-OS.
من جهة أخرى، يمكن للمهاجم الذي لا يحتاج إلى أي مصادقة استغلال هذه الثغرة عن طريق إرسال حزم بيانات مصممة خصيصاً. وفي حال نجاح الاستغلال، يصبح بإمكان المهاجم الوصول إلى مستويات صلاحيات الجذر (root privileges) وتنفيذ أي أوامر يرغب بها.
محاولات استغلال وتفاصيل الهجوم
بحسب ما أعلنت عنه بالو ألتو نتوركس، فقد لاحظت الشركة وجود محاولات لاستغلال الثغرة بدأت في 9 أبريل 2026. وبعد أسبوع واحد من بدء هذه المحاولات، تمكن المهاجمون من تحقيق تنفيذ رمزي عن بعد بنجاح.
ووفقاً لتقرير الوحدة 42 التابعة للشركة، قام المهاجم بحقن تعليمات برمجية خبيثة (shellcode) في عملية خادم الويب nginx. ومن ثم، قامت الجهة المهاجمة باتخاذ خطوات فورية لإخفاء آثار الهجوم، مثل مسح سجلات الانهيار وحذف ملفات تفريغ الذاكرة.
أنشطة ما بعد الاستغلال
بعد تأمين الوصول، شرعت الجهة المهاجمة في أنشطة أخرى شملت استطلاع بيئة Active Directory (AD). كما قامت تلك الجهة بإنزال حمولات إضافية مثل EarthWorm و ReverseSocks5 على جهاز ثانٍ في 29 أبريل 2026.
تجدر الإشارة إلى أن أدوات مثل EarthWorm و ReverseSocks5 قد استخدمت سابقاً من قبل مجموعات قرصنة مرتبطة بالصين، مما يثير قلقاً بشأن ارتباط هذا الهجوم بجهات ممولة من دول.
استهداف البنية التحتية التقنية
تزايدت في السنوات الخمس الماضية، وفقاً لوحدة 42، تركيز الجهات التهديدية المدعومة من الدول على الأصول التقنية في شبكات الحواف. وتشمل هذه الأصول جدران الحماية، والموجهات، وأجهزة إنترنت الأشياء، وأنظمة المحاكاة الافتراضية، وحلول الشبكات الافتراضية الخاصة (VPN).
تُعد هذه الأجهزة مفتاحاً للحصول على صلاحيات عالية، وفي الوقت نفسه، غالباً ما تفتقر إلى آليات التسجيل القوية وعوامل الأمان المتوفرة في الأجهزة الطرفية القياسية. وهذا ما يجعلها هدفاً جذاباً لعمليات التجسس السيبراني.
أساليب متطورة للتخفي
يعتمد المهاجمون وراء الهجوم المذكور على أدوات مفتوحة المصدر بدلاً من البرمجيات الخبيثة الاحتكارية. يقلل هذا الأسلوب من فرص اكتشاف الهجوم من خلال الأنظمة المعتمدة على التوقيعات، ويسهل التكامل مع البيئة المستهدفة.
بالإضافة إلى ذلك، فإن وتيرة العمل المنضبطة للجهة المهاجمة، والتي تتضمن جلسات تفاعلية متقطعة على مدى أسابيع، ساهمت في البقاء بعيداً عن عتبات الكشف للأنظمة الآلية. وهذا يعكس تطور أساليب التهديدات السيبرانية وقدرتها على التكيف.