أعلنت شركة بالو ألتو نتوركس عن اكتشاف ثغرة أمنية حرجة في نظام التشغيل PAN-OS الخاص بها، والتي تم استغلالها بالفعل في هجمات محدودة. تحمل هذه الثغرة اسم CVE-2026-0300، وتتعلق بفيض مخزن مؤقت يسمح بتنفيذ تعليمات برمجية عن بعد دون الحاجة للمصادقة.
تؤثر هذه الثغرة على أجهزة جدار الحماية من فئتي PA-Series و VM-Series، وتسمح للمهاجم غير المصادق عليه بتنفيذ تعليمات برمجية عشوائية بصلاحيات عليا. تزداد خطورة الثغرة إلى 9.3 على مقياس CVSS في حال كان منفذ مصادقة المعرف الخاص بالمستخدم (User-ID Authentication Portal) متاحاً عبر الإنترنت أو شبكات غير موثوقة.
ثغرة PAN-OS الحرجة وتأثيرها
تتيح ثغرة فيض المخزن المؤقت في خدمة منفذ مصادقة المعرف الخاص بالمستخدم، والخاص بأنظمة PAN-OS من بالو ألتو نتوركس، للمهاجمين غير المصادق عليهم تنفيذ تعليمات برمجية ضارة بصلاحيات الجذر على أجهزة جدار الحماية. يتم ذلك عبر إرسال حزم بيانات مصممة خصيصاً.
وفقاً لشركة بالو ألتو نتوركس، تم رصد استغلال محدود لهذه الثغرة، حيث استهدفت بشكل خاص الأنظمة التي تم فيها ترك منفذ مصادقة المعرف الخاص بالمستخدم متاحاً بشكل علني. وتشمل الإصدارات المتأثرة بهذه الثغرة:
- PAN-OS 12.1: أقل من 12.1.4-h5، وأقل من 12.1.7
- PAN-OS 11.2: أقل من 11.2.4-h17، وأقل من 11.2.7-h13، وأقل من 11.2.10-h6، وأقل من 11.2.12
- PAN-OS 11.1: أقل من 11.1.4-h33، وأقل من 11.1.6-h32، وأقل من 11.1.7-h6، وأقل من 11.1.10-h25، وأقل من 11.1.13-h5، وأقل من 11.1.15
- PAN-OS 10.2: أقل من 10.2.7-h34، وأقل من 10.2.10-h36، وأقل من 10.2.13-h21، وأقل من 10.2.16-h7، وأقل من 10.2.18-h6
الإجراءات الوقائية والتوصيات
حتى الآن، لا يوجد تصحيح رسمي لهذه الثغرة. تخطط بالو ألتو نتوركس لإصدار تحديثات لمعالجة المشكلة بدءاً من 13 مايو 2026. من المهم ملاحظة أن الثغرة تنطبق فقط على أجهزة جدار الحماية التي تستخدم منفذ مصادقة المعرف الخاص بالمستخدم.
بينما لا يتوفر تصحيح، تنصح الشركة العملاء بتطبيق أفضل الممارسات الأمنية، مثل قصر الوصول إلى المنافذ الحساسة على الشبكات الداخلية الموثوقة. هذا يقلل بشكل كبير من مخاطر الاستغلال.
في غياب التصحيح، يُنصح المستخدمون باتخاذ أحد الإجراءين: إما تقييد الوصول إلى منفذ مصادقة المعرف الخاص بالمستخدم ليشمل فقط المناطق الموثوقة، أو تعطيله بالكامل إذا لم يكن ضرورياً لعملياتهم.