كشفت أبحاث أمنية حديثة عن إمكانية إساءة استخدام ميزة “المحطة الطرفية المباشرة” (Live Terminal) في أداة Palo Alto Networks Cortex XDR، وتحويلها إلى قناة للتحكم والقيادة (C2) من قبل المهاجمين. نظرًا لأن هذه الميزة تعمل ضمن وكيل الكشف والاستجابة للنقاط الطرفية (EDR) الموثوق به، فإن حركة المرور التي تنتجها تكون مقبولة بشكل كبير من قبل أدوات أمن المؤسسات، مما يجعلها طريقة خفية وصعبة الاكتشاف.
تُعد ميزة المحطة الطرفية المباشرة في Cortex XDR أداة إدارة عن بعد مشروعة تسمح لفرق الأمن بتنفيذ الأوامر، وتشغيل نصوص PowerShell و Python، وتصفح الملفات، وإدارة العمليات على النقاط الطرفية من وحدة تحكم مركزية. تتواصل الميزة عبر اتصالات WebSocket مع البنية التحتية السحابية لشركة Palo Alto. وقد اكتشف الباحثون أن البروتوكول الأساسي لهذه الميزة يفتقر إلى توقيع الأوامر، مما يعني عدم وجود آلية للتحقق من أن التعليمات تأتي بالفعل من مسؤول شرعي. أي مهاجم يعترض رسالة WebSocket الأولية يمكنه إعادة توجيه اتصال النقطة الطرفية إلى خادم يتحكم فيه.
إساءة استخدام ميزة Cortex XDR Live Terminal
حدد باحثو InfoGuard Labs أنه نظرًا لأن المكون الخاص بالعملاء للمحطة الطرفية المباشرة (cortex-xdr-payload.exe) موثوق به بالفعل من قبل محرك EDR، فإن الأوامر المنفذة عبر هذه القناة يمكنها تجاوز قواعد الكشف والمنع التقليدية. هذا يجعلها تقنية قوية من نوع “العيش من الأرض” (Living off the Land)، حيث يستخدم المهاجمون الأدوات الموجودة بالفعل على النظام بدلاً من إسقاط برامج ضارة جديدة. يوضح البحث طريقتين يمكن من خلالهما إساءة استخدام هذه الميزة.
في الطريقة الأولى، وهي هجوم عبر المستأجرين (cross-tenant attack)، يستخدم المهاجم المستأجر الخاص به في Cortex لإنشاء رمز جلسة صالح، ثم يعيد توجيه نقطة النهاية للضحية للاتصال مرة أخرى بالمستأجر الذي يتحكم فيه المهاجم. تتضمن الطريقة الثانية إنشاء خادم مخصص يكرر بروتوكول اتصال WebSocket، وهو ما يتطلب القليل من العمل التطويري بناءً على الزيارات الملتقطة.
يُعد هذا التأثير خطيرًا على أي مؤسسة تشغل Cortex XDR. بمجرد اكتساب المهاجم وصولاً مبدئيًا، يمكنه استخدام هذه التقنية للحفاظ على سيطرة مستمرة وخفية على النقاط الطرفية المخترقة دون إسقاط أي أدوات إضافية. تمتزج حركة مرور الشبكة الناتجة عن هذه التقنية مع حركة مرور وكيل Cortex العادية وغالبًا ما تستبعد من فحص TLS، مما يسمح للمهاجمين بإصدار الأوامر، والتحرك جانبيًا، وجمع الملفات بأقل قدر من الضوضاء.
كيف يستغل المهاجمون الميزة
عند بدء جلسة المحطة الطرفية المباشرة، يتم إرسال رسالة WebSocket من سحابة Palo Alto إلى وكيل Cortex. تحتوي هذه الرسالة على وسائط سطر أوامر توجه الوكيل لتشغيل cortex-xdr-payload.exe بقيم محددة للخادم والرمز.
قام الباحثون بتحليل هذا الملف التنفيذي باستخدام أدوات استخلاص PyInstaller ومفكك الترجمة pylingual، واكتشفوا أنه تطبيق Python 3.12. داخل الكود الذي تم فك ترجمته، تم العثور على خلل منطقي كبير في كيفية التحقق من صحة قيمة الخادم. تتحقق الدالة run_lrc_payload مما إذا كانت قيمة الخادم تنتهي بـ .paloaltonetworks.com، لكنها تطبق هذا التحقق على سلسلة عنوان URL الكاملة بدلاً من اسم المضيف وحده.
هذا يعني أن عنوان URL المصمم مثل attacker.com/test.paloaltonetworks.com يمر عبر التحقق ويتصل بخادم مملوك للمهاجم. في هجوم عبر المستأجرين، يعترض المهاجم رمز جلسة WebSocket قبل وصوله إلى جهازه الخاص، ثم يستخدمه على نقطة النهاية الخاصة بالضحية. يتصل جهاز الضحية بمستأجر Cortex الخاص بالمهاجم، مما يوفر وصولاً كاملاً للمحطة الطرفية المباشرة عبر الواجهة الرسومية الرسمية.
تجدر الإشارة إلى أن العملية الأم الشرعية لـ cortex-xdr-payload.exe هي cyserver.exe، وأي انحراف عن ذلك يجب اعتباره مشبوهًا. تم إخطار Palo Alto Networks بهذه النتائج في 30 سبتمبر 2025، وبعد ذلك أعلنت الشركة أن الإصدارات من 8.7 إلى 8.9 تتضمن إصلاحًا. ومع ذلك، أظهر الاختبار الذي تم إجراؤه في 23 فبراير 2026، باستخدام الإصدار 8.9.1 مع أحدث تحديثات المحتوى، أن إساءة الاستخدام وتجاوز المضيف لا يزالان يعملان بالكامل، دون وجود إصلاح حقيقي.
يجب على فرق الأمن مراقبة أحداث إنشاء العمليات ووضع علامة على أي حالة يتم فيها تشغيل cortex-xdr-payload.exe بواسطة عملية أم غير cyserver.exe. يجب على Palo Alto Networks تطبيق المصادقة المتبادلة وتوقيع الأوامر التشفيري ضمن بروتوكول المحطة الطرفية المباشرة. نهج الكشف فقط المبني على قواعد العمليات الأم ليس كافيًا. تحتاج بنية الميزة إلى إعادة تصميم آمنة حسب التصميم لضمان عدم إمكانية حدوث هذا النوع من الإساءة على مستوى البروتوكول.