كشفت شركة “بالو ألتو نتووركس” عن رصدها استغلالاً نشطاً لثغرة أمنية حديثة في نظام التشغيل PAN-OS، حيث تمكن جهة فاعلة مجهولة من الوصول غير المصرح به إلى بوابات GlobalProtect.
تتعلق هذه الثغرة الأمنية، التي تحمل الرمز CVE-2026-0257، بخلل في تجاوز المصادقة يؤثر على مكونات البوابة والبوابة الرئيسية في برمجيات PAN-OS، ويمكن للمهاجمين استغلاله لإنشاء اتصالات VPN.
ثغرة CVE-2026-0257 قيد الاستغلال النشط
وفقاً لشركة أمن الشبكات، يمكن للمهاجم استغلال هذه الثغرة لتجاوز الضوابط الأمنية وبدء اتصالات VPN.
ويتم حالياً استغلال هذه الثغرة في البرية ضمن هجمات محدودة، حيث لوحظت الأنشطة الأولية في 17 مايو 2026. ولم يتم بعد تحديد الجهة المسؤولة عن جهود الاستغلال.
وأوضحت “بالو ألتو نتووركس” أنه لم يتم تحديد أي سلوك ما بعد الوصول أو حركة جانبية حتى الآن. كما أن جزءاً صغيراً فقط من الأجهزة التي تم فحصها نجح في إنشاء جلسات VPN، مما أدى إلى تسجيل أحداث اتصال بالبوابة.
مؤشرات الاختراق والإجراءات الوقائية
أصدرت الشركة أيضاً مؤشرات على الاختراق (IoCs) المرتبطة بالنشاط، والتي تشمل عناوين IP محددة وأسماء مضيفين وعناوين MAC.
في غضون ذلك، تحث “بالو ألتو نتووركس” العملاء على فحص سجلات GlobalProtect بحثاً عن أحداث اتصال ناجحة بالبوابة تتطابق مع قيم تكوين العميل المضمنة في دليل إثبات المفهوم (PoC) للاستغلال.
وقد أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في أواخر الشهر الماضي، الثغرة CVE-2026-0257 إلى كتالوج الثغرات المعروفة المستغلة (KEV)، وأمرت وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) بتخفيف حدة الثغرة بحلول 1 يونيو 2026.