أفادت شركة بالو ألتو نيتوركس، وهي جهة رائدة في مجال الأمن السيبراني، بأن ثغرة أمنية حرجة من نوع “يوم الصفر” (zero-day) يتم استغلالها حاليًا من قبل جهات هجومية، وتؤثر هذه الثغرة على بعض أجهزة جدران الحماية (Firewalls) لدى عملائها، مما يثير قلقًا متزايدًا في قطاع الأمن الرقمي.
تتعلق هذه الثغرة، المصنفة تحت الرمز CVE-2026-0300، بخلل في بوابة المصادقة لأجهزة PAN-OS، والتي تُستخدم في جدران حماية PA-Series و VM-Series. وبحسب الشركة، فإن هذه الثغرة تتيح للمهاجمين غير المصرح لهم تنفيذ تعليمات برمجية بصلاحيات المستخدم الجذر (root privileges)، مما يمنحهم تحكمًا كبيرًا في الأجهزة المتضررة.
استغلال ثغرة يوم الصفر في PAN-OS
لم تكشف بالو ألتو نيتوركس عن توقيت علمها بالاستغلال النشط للثغرة أو تاريخ أول عملية استغلال معروفة. ومع ذلك، فقد قامت وكالة الأمن السيبراني والبنية التحتية (CISA) بإضافة هذه الثغرة إلى قائمة الثغرات المعروفة التي يتم استغلالها، مما يؤكد خطورتها وحاجتها إلى معالجة فورية.
حتى الآن، لم تعلن الشركة عن إصدار تحديث برمجي لإصلاح هذه الثغرة، ولم تقدم تفاصيل حول نطاق الهجمات المؤكدة أو الأهداف التي تسعى إليها الجهات المهاجمة.
وأشارت الشركة إلى أن هذه الثغرة الأمنية تؤثر بشكل خاص على العملاء الذين لديهم بوابة المصادقة (User-ID Authentication Portal) الخاصة بهم متاحة عبر الإنترنت العام أو عناوين IP غير موثوقة. مضيفةً أنه تم رصد استغلال محدود لهذه المشكلة، وأنها تعمل على إصدار تحديثات برمجية، مع توقع صدور أولى هذه التحديثات في 13 مايو.
تُصنف الثغرة ضمن مستوى خطورة مرتفع جدًا (CVSS score of 9.3)، ويُشار إلى أن أجهزة جدران الحماية المكشوفة لهذه الثغرة، والتي تسمح بحدوث فيضان للمخزن المؤقت (buffer overflow)، منتشرة على نطاق واسع في البيئات التشغيلية الحقيقية، كما أن تعقيد الهجمات لاستغلالها يعتبر منخفضًا، مما يزيد من احتمالية انتشار الاستغلال.
تأثير انتشار الثغرة
بحسب مسوحات أجرتها منظمة Shadowserver، فقد تم العثور على أكثر من 5,800 جهاز VM-Series يعمل بنظام PAN-OS ومتاح للعموم اعتبارًا من يوم الثلاثاء. ومع ذلك، يبقى من غير المعروف عدد هذه الأجهزة التي تم تقييد إمكانية الوصول إليها للمصادقة لتقتصر على عناوين IP داخلية موثوقة، أو التي تم فيها تعطيل الميزة كليًا.
في إطار إجراءاتها، أكدت بالو ألتو نيتوركس أنها قدمت إرشادات واضحة لعملائها لتمكينهم من تأمين بيئاتهم بشكل فوري. وأوضحت الشركة أن هذه المشكلة لا تؤثر على أجهزة Cloud NGFW أو Panorama، مؤكدةً التزامها بالشفافية ونهج “الأمن أولاً” لحماية قاعدة عملائها العالمية.
من جهته، أشار بنجامين هاريس، الرئيس التنفيذي لمؤسسة watchTowr للأمن السيبراني، إلى أن بالو ألتو نيتوركس قامت بالتنبيه المبكر للعملاء بشأن هذه الثغرة، وهو إجراء يسمح للمدافعين باتخاذ خطوات لحماية الأنظمة المكشوفة. ومع ذلك، فإن هذا التنبيه قد يلفت انتباه الآخرين إلى وجود الثغرة.
على الرغم من المخاطر، يتوقع هاريس أن تكون الهجمات المرتبطة باستغلال هذه الثغرة “محدودة للغاية”.
تظل بالو ألتو نيتوركس وعملاؤها المتأثرون الوحيدين الذين أبلغوا عن رصد استغلال للثغرة في الاستخدام الفعلي. ومع ذلك، يحذر الباحثون من أن هذا الوضع قد يتغير قريبًا.
وتوقعت كايتلين كوندون، نائب رئيس أبحاث الأمن في VulnCheck، أن تبدأ المنظمات الخارجية ومصائد التهديدات (honeypots) في اكتشاف أنشطة متعلقة بالثغرة قريبًا. وأضافت أن واجهات الإدارة وصفحات تسجيل الدخول وبوابات المصادقة كانت دائمًا أهدافًا شائعة للمهاجمين، سواء في حملات عشوائية أو مستهدفة. ومع انتباه الباحثين والمجتمع التقني لهذه الثغرة، من المتوقع ظهور استغلالات عامة وانتشار أوسع لها، ما لم يكن استغلالها صعبًا للغاية.
حتى الآن، لم تُنسب الهجمات إلى أي مجموعة تهديدات معروفة، ولم تنشر بالو ألتو نيتوركس مؤشرات اختراق (indicators of compromise)، أو تكشف عن طبيعة المنظمات التي تم استهدافها. ويواصل الباحثون البحث عن نشاط ضار، وينصحون العملاء بتطبيق التحديثات فور توفرها.