الصفحة الرئيسية
Cyber-Security

ثغرة أمنية خطيرة في أجهزة Palo Alto Networks تُستغل لأسبوعين

Cybersecurity Arab

أعلنت شركة Palo Alto Networks ومركز الأمن السيبراني الأمريكي (CISA) عن استغلال تهديدي لثغرة أمنية جديدة في أنظمة التشغيل الخاصة بها، وذلك بعد أربعة أيام من الإعلان الرسمي عنها. ووفقًا لما كشفه باحثو الأمن في Rapid7، بدأ المهاجمون استغلال الثغرة المعروفة باسم CVE-2026-0257 في 17 مايو الماضي، مما يسمح بتجاوز آلية المصادقة عبر ملفات تعريف الارتباط المزورة.

Recent Palo Alto Networks Vulnerability Exploited for Weeks

خلال التحقيق الأولي، لاحظ فريق Rapid7 وجود محاولات مشبوهة للمصادقة باستخدام ملفات تعريف الارتباط للوصول إلى حساب المسؤول المحلي في بيئات عملاء متعددة، حيث كانت جميع هذه المحاولات قادمة من نفس مزود الاستضافة، وهو Vultr.

وفي 21 مايو، شن نفس المهاجمون موجة ثانية من الهجمات، هذه المرة من مزود استضافة مختلف هو Dromatics Systems. وخلال هذه الموجة، لاحظ الباحثون حدوث تعيين لعنوان IP عبر VPN بعد المصادقة الناجحة باستخدام ملفات تعريف الارتباط المزورة، مما منح المهاجمين وصولاً كاملاً إلى الشبكات الداخلية لبعض الضحايا.

صورة توضيحية
صورة توضيحية

وأشار الباحثون إلى أنهم لم يتمكنوا بعد من تحديد سبب حدوث تعيين عناوين IP عبر VPN لبعض الضحايا فقط دون غيرهم. ومع ذلك، فقد نجح المهاجمون في استغلال الثغرة عبر بيئات متعددة، مستخدمين ملفات تعريف الارتباط المزورة لفحص آلية تجاوز المصادقة. وفي 8 من أصل 10 حالات، تم قبول ملفات تعريف الارتباط هذه دون الحاجة إلى إنشاء جلسة VPN كاملة.

وقد نشر فريق Rapid7 أداة إثبات مفهوم (PoC) لمساعدة المؤسسات على تحديد أجهزة جدران الحماية الخاصة بـ Palo Alto Networks التي قد تكون معرضة للخطر. كما أصدر الفريق مؤشرات compromising (IoCs) لمساعدة المدافعين على البحث عن الاختراقات المحتملة.

التحديثات الأمنية المقدمة من Palo Alto Networks

أصدرت Palo Alto Networks تحديثات أمنية تتضمن إصلاحات للثغرة في إصدارات مختلفة من أنظمة التشغيل الخاصة بها، وهي:

  • PAN-OS 12.1
  • PAN-OS 11.2
  • PAN-OS 11.1
  • PAN-OS 10.2
  • Prisma Access 11.2.0
  • Prisma Access 10.2.0

وتوصي الشركة جميع المؤسسات بتحديث أنظمة التشغيل الخاصة بها إلى أحدث الإصدارات المتاحة في أقرب وقت ممكن لتجنب التعرض للهجمات.

تفاصيل تقنية حول الثغرة CVE-2026-0257

الثغرة CVE-2026-0257 هي ثغرة أمنية في آلية المصادقة الخاصة بأنظمة Palo Alto Networks، تسمح للمهاجمين بإنشاء ملفات تعريف ارتباط مزورة تمكنهم من الوصول إلى حسابات المسؤول دون الحاجة إلى كلمات مرور. وقد تم تصنيف هذه الثغرة على أنها خطيرة نظرًا لقدرتها على منح وصول غير مصرح به إلى الشبكات الداخلية.

وأوضح الباحثون أن المهاجمين استغلوا هذه الثغرة في بيئات متعددة، حيث تم قبول ملفات تعريف الارتباط المزورة في 80% من الحالات دون الحاجة إلى إنشاء جلسة VPN كاملة. وهذا يشير إلى أن الثغرة سهلة الاستغلال نسبيًا ويمكن أن تؤدي إلى اختراقات واسعة النطاق إذا لم يتم تحديث الأنظمة في الوقت المناسب.

أهمية التحديث الفوري

تعتبر التحديثات الأمنية أمرًا حيويًا لحماية الأنظمة من الهجمات السيبرانية. وفي حالة هذه الثغرة، فإن عدم تحديث الأنظمة يمكن أن يؤدي إلى:

  • وصول غير مصرح به إلى الشبكات الداخلية.
  • سرقة البيانات الحساسة.
  • تنفيذ هجمات إضافية داخل الشبكة.
  • تعطيل الخدمات критически важные для الأعمال.

لذلك، توصي Palo Alto Networks جميع العملاء بتطبيق التحديثات الأمنية فورًا لضمان حماية بيئاتهم من هذه الثغرة.

أدوات ومساعدات من Rapid7

إلى جانب نشر أداة إثبات المفهوم (PoC)، قدم فريق Rapid7 أيضًا مؤشرات compromising (IoCs) لمساعدة المؤسسات على تحديد ما إذا كانت قد تأثرت بالهجمات. وتشمل هذه المؤشرات:

  • عناوين IP المشبوهة المستخدمة في الهجمات.
  • ملفات تعريف الارتباط المزورة.
  • أنماط حركة المرور غير الطبيعية.

كما يمكن للمؤسسات استخدام هذه الأدوات لفحص بيئاتها واكتشاف أي علامات تدل على وجود اختراقات محتملة.

إجراءات الوقاية والحماية

بالإضافة إلى تحديث الأنظمة، هناك عدة إجراءات يمكن للمؤسسات اتخاذها لحماية نفسها من هذه الثغرة:

  • مراجعة سجلات المصادقة: يجب على المؤسسات مراجعة سجلات المصادقة بانتظام للكشف عن أي محاولات مشبوهة للمصادقة باستخدام ملفات تعريف الارتباط المزورة.
  • تطبيق مبدأ أقل الامتيازات: يجب تقييد وصول حسابات المسؤول إلى الحد الأدنى الضروري، مما يقلل من خطر الاستغلال غير المصرح به.
  • استخدام جدران الحماية: يمكن لجدران الحماية المتقدمة اكتشاف ومنع محاولات استغلال الثغرات الأمنية.
  • توعية الموظفين: يجب تدريب الموظفين على التعرف على محاولات التصيد والهجمات السيبرانية الأخرى.

من خلال اتخاذ هذه الإجراءات، يمكن للمؤسسات تقليل خطر التعرض للهجمات السيبرانية بشكل كبير.

الخلاصة

تعتبر ثغرة CVE-2026-0257 في أجهزة Palo Alto Networks تهديدًا خطيرًا يتطلب اهتمامًا فوريًا من قبل جميع المؤسسات التي تستخدم هذه الأنظمة. وقد بدأ المهاجمون بالفعل في استغلال هذه الثغرة، مما يبرز أهمية تحديث الأنظمة وتطبيق إجراءات الحماية اللازمة.

وتوصي Palo Alto Networks و Rapid7 جميع المؤسسات بتطبيق التحديثات الأمنية فورًا واستخدام الأدوات المتاحة لفحص بيئاتها واكتشاف أي علامات تدل على وجود اختراقات محتملة.

إرسال تعليق