أفادت شركة بالو ألتو نيتوركس (Palo Alto Networks) بوجود استغلال نشط لثغرة أمنية متوسطة الخطورة تم اكتشافها مؤخراً في أنظمة PAN-OS و Prisma Access، مما يثير قلقاً بشأن أمن الشبكات.
تتعلق هذه الثغرة، المعروفة بالرمز CVE-2026-0257 وبدرجة خطورة 7.8 وفقاً لمقياس CVSS، بحالة تجاوز صلاحيات يمكن للمهاجمين استغلالها لإنشاء اتصالات VPN غير مصرح بها.
ثغرة تجاوز صلاحيات في أنظمة بالو ألتو نيتوركس تحت الاستغلال
تسمح الثغرات الأمنية المتعلقة بتجاوز صلاحيات الدخول في بوابات GlobalProtect التابعة لأنظمة PAN-OS من بالو ألتو نيتوركس للمهاجمين بتجاوز القيود الأمنية وإنشاء اتصالات VPN خاصة بهم. هذا ما أكدته بالو ألتو نيتوركس في بيان صدر بتاريخ 13 مايو 2026.
وتؤثر هذه المشكلة بشكل خاص على جدران الحماية التي تم فيها إعداد بوابة GlobalProtect أو بوابة أخرى، وذلك عند تفعيل ملفات تعريف الارتباط الخاصة بتجاوز المصادقة، مع وجود تكوين شهادة محدد. وتعمل الشركة على معالجة هذه الثغرات لضمان سلامة المستخدمين.
وتجدر الإشارة إلى أن هذا الاستغلال يأتي في الوقت الذي أعلنت فيه شركة Rapid7 عن تحديدها لعمليات استغلال ناجحة لدى العديد من العملاء، حيث بدأت أولى محاولات الهجوم في 17 مايو 2026، تلتها موجة ثانية في 21 مايو. وتشير التقييمات إلى أن نفس الجهة الفاعلة تقف وراء كلا العمليتين.
تضمنت الأنشطة التي لوحظت في الموجة الثانية تعيين عناوين IP لشبكة VPN بعد تجاوز المصادقة عبر ملفات تعريف الارتباط في حالتين، مما منح المهاجم وصولاً إلى الشبكة الداخلية. ومع ذلك، لم يتم رصد أي أنشطة لاحقة في بيئات العملاء التي تم فيها إنشاء جلسة VPN.
توصيات عاجلة للمستخدمين
أكدت Rapid7 أن “تجاوز المصادقة في جهاز VPN مواجه للحافة يمكن أن يكون له تأثير كبير على المؤسسات المتضررة”. ولذلك، تحث المؤسسات التي تستخدم الأجهزة المتأثرة على الترقية الفورية إلى التصحيح المقدم من المورد.
كإجراءات تخفيف مؤقتة، توصي بالو ألتو نيتوركس بتعطيل ميزة تجاوز المصادقة، أو إنشاء شهادة جديدة لاستخدامها حصرياً ضمن هذه الميزة. وتهدف هذه الإجراءات إلى الحد من المخاطر إلى حين تطبيق الحلول الدائمة.
يأتي هذا الاستغلال لثغرة CVE-2026-0257 في أعقاب تقرير من شركة Arctic Wolf حول الاستخدام المستمر لثغرة أمنية حرجة، تم إصلاحها الآن، والتي تؤثر على عمليات نشر خادم إدارة نقاط النهاية لـ FortiClient (CVE-2026-35616، درجة خطورة 9.1). تستخدم هذه الثغرة لتوزيع برامج ضارة تهدف لسرقة بيانات الاعتماد تُعرف باسم EKZ Infostealer، مما يؤكد على الحاجة المستمرة لليقظة تجاه التهديدات السيبرانية.