يتدافع الباحثون ومحققو التهديدات للاستجابة لثغرة أمنية خطيرة في جدران الحماية الخاصة بعملاء Palo Alto Networks، والتي يتم استغلالها حاليًا وتتيح تجاوز المصادقة. تم رفع مستوى خطورة الثغرة CVE-2026-0257 بعد تأكيد استغلالها النشط في البرية.
تتيح هذه الثغرة للمهاجمين عن بعد تجاوز القيود الأمنية وإنشاء اتصال VPN بجدار الحماية المتأثر. هذا التطور يسلط الضوء على كيفية تحول ثغرة تبدو بسيطة إلى تهديد حرج بسرعة. سارعت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية إلى إضافة الثغرة إلى قائمة الثغرات المعروفة التي تم استغلالها.
الاستغلال النشط للثغرة الأمنية يستدعي التحرك الفوري
أكدت Palo Alto Networks أنها تراقب حاليًا محاولات استغلال محدودة للثغرة CVE-2026-0257 على أجهزة PAN-OS غير المصححة والتي لم يتم تطبيق التخفيفات اللازمة عليها. حثت الشركة جميع العملاء على تطبيق التصحيح الأمني فورًا أو اتباع الخطوات الموصى بها للتخفيف من المخاطر.
مراقبة الثغرات الأمنية تشير إلى أن الاستغلال النشط بدأ في أوائل شهر مايو. لاحظت شركة Rapid7، وهي إحدى الشركات الرائدة في مجال الأمن السيبراني، أن الاستغلال بدأ فعليًا في بيئة أحد العملاء بتاريخ 17 مايو. ومع ذلك، لم تكشف الشركة أو Rapid7 عن عدد المؤسسات المتأثرة حتى الآن.
الخلفية التقنية للثغرة
يشير الخبراء إلى أن هذه الثغرة الأمنية هي مثال آخر على تجاوز المصادقة في جهاز أمني مهم، حيث تتمثل وظيفته الأساسية في حماية شبكة المؤسسة. ما يميز هذه الثغرة هو بساطتها؛ حيث يمكن للمهاجم تزوير ملف تعريف ارتباط مصادقة صالح باستخدام شهادة TLS العامة للجهاز فقط.
يتطلب استغلال الثغرة توفر شروط معينة، حيث تؤثر بشكل أساسي على عملاء Palo Alto Networks الذين يستخدمون ميزة GlobalProtect portal أو gateway، والمعدة لتمكين ملفات تعريف الارتباط تجاوز المصادقة. يجب أن تكون شهادة التشفير وفك تشفير ملفات تعريف الارتباط مستخدمة مع ميزة أخرى، مما قد يكشف المفتاح العام لتلك الشهادة.
من الصعب تحديد عدد التثبيتات التي تطابق معايير قابلية الاستغلال، لكن نظرًا للانتشار الواسع لأجهزة Palo Alto Networks، فإن التكوينات غير الشائعة يمكن أن تشكل مساحة هجوم كبيرة. هذا يسلط الضوء على أهمية الإدارة الدقيقة للتكوينات الأمنية.
المهاجمون والفرصية
تشير التقارير إلى أن نفس المهاجم أو المجموعة تقف على الأرجح وراء موجات الاستغلال التي شهدها الشهر الماضي. ومع ذلك، في كثير من الحالات، لا يقوم المهاجمون بإنشاء اتصال VPN كامل أو التوسع إلى أجزاء أخرى من الشبكة المتأثرة.
يصف الخبراء المهاجمين بأنهم “انتهازيون للغاية ويراقبون بوضوح مجتمع أبحاث الأمن”. يقوم المهاجمون بتسليح الثغرات الأمنية متوسطة الخطورة عمدًا، والتي غالبًا ما تكون ذات أولوية أقل أو نقاط عمياء للمؤسسات. هذا الواقع يتطلب إعادة تقييم لأولويات إدارة الثغرات.
تتزايد الجهود من قبل مجموعات تهديدات متعددة للاستفادة من هذه الفرصة، ويتكيفون بسرعة مع الأبحاث المنشورة. حتى الآن، لم يتم ربط النشاط الضار بأي مجموعات تهديد محددة.
الأهداف المستقبلية والدوافع
لا تزال الأصول الدقيقة للمهاجمين وأهدافهم طويلة الأمد غير واضحة، حيث يبدو أن تركيزهم الحالي ينصب على الوصول الأولي الانتهازي بدلاً من التجسس المستهدف وطويل الأمد. وهذا يجعل من الصعب التنبؤ بالخطوات التالية التي قد يتخذونها.
اكتشفت Palo Alto Networks الثغرة داخليًا باستخدام أدوات الذكاء الاصطناعي المتطورة. ومع ذلك، في غضون أيام قليلة من الإعلان العام عنها، تبين أن التقييمات الأولية لم تكن كافية. يمثل هذا نمطًا مستمرًا حيث تتأخر الاستجابة حتى يبدأ الاستغلال الفعلي. المؤسسات التي تنتظر تأكيد الاستغلال النشط قبل التصحيح ستجد نفسها دائمًا متأخرة عن الركب.