حذرت شركة بالو ألتو نتوركس من استغلال نشط لثغرة أمنية خطيرة في أنظمة PAN-OS، مما يسمح للمخترقين بتجاوز المصادقة والوصول لشبكات VPN.
ما هي تفاصيل ثغرة بالو ألتو CVE-2026-0257؟
كشفت التقارير الأمنية الحديثة عن وجود نقطة ضعف برمجية متوسطة إلى عالية الخطورة تؤثر بشكل مباشر على منتجات PAN-OS و Prisma Access التابعة لشركة بالو ألتو. تكمن المشكلة الأساسية في إمكانية تجاوز آليات المصادقة الأمنية الأساسية، مما يفتح الباب أمام الجهات الخبيثة لإنشاء اتصالات شبكة افتراضية خاصة (VPN) غير مصرح بها للوصول إلى بيانات حساسة.
وقد أوضحت الشركة في بيانها الرسمي الصادر في منتصف شهر مايو 2026، أن هذه الثغرة تسمح للمهاجمين بتخطي القيود الأمنية المفروضة على بوابة GlobalProtect. وتعتبر هذه الثغرة من المشاكل البرمجية البارزة التي تواجه مسؤولي الأنظمة هذا العام، نظراً لطبيعة الأنظمة المتأثرة بها.
- رمز الثغرة: CVE-2026-0257
- درجة تقييم الخطورة (CVSS): 7.8 من 10
- الأنظمة المتأثرة: إصدارات محددة من PAN-OS
- الشرط الأساسي للاختراق: تفعيل ملفات تعريف الارتباط لتجاوز المصادقة بالإضافة إلى إعدادات شهادة معينة.
كيف يتم استغلال ثغرة GlobalProtect حالياً؟
في تحديث أمني جديد بتاريخ 29 مايو 2026، أكدت شركة بالو ألتو نتوركس رصدها لمحاولات استغلال محدودة تستهدف الأجهزة غير المحدثة. ووفقاً لمتابعة خبراء تيكبامين لتطورات المشهد الأمني، فقد تم تسجيل اختراقات ناجحة طالت العديد من الشبكات خلال الأسابيع الماضية.
بدأت موجة الهجمات الأولى في 17 مايو 2026، تلتها موجة ثانية في 21 مايو. وتشير التحليلات الأولية المتقدمة إلى أن مجموعة قرصنة واحدة وتقف وراء كلتا الموجتين، مستغلة الثغرة ذاتها لاستهداف الأجهزة الطرفية للمؤسسات.
تأثير الهجوم على الشبكات الداخلية
خلال الموجة الثانية من الهجمات، تمكن المخترقون من الحصول على عناوين IP خاصة بشبكة VPN بعد نجاحهم في تجاوز مصادقة ملفات تعريف الارتباط. هذا الاختراق الخطير منح المهاجمين وصولاً مباشراً إلى البنية التحتية للشبكة الداخلية.
رغم ذلك، لم يتم رصد أي نشاط لاحق أو تحركات مشبوهة إضافية داخل بيئات العملاء بعد إنشاء جلسة الـ VPN بنجاح، وهو ما قد يشير إلى عمليات استطلاع أولي أو تجهيز لهجمات مستقبلية أوسع نطاقاً.
كيف تحمي مؤسستك من هجمات تجاوز المصادقة؟
نظراً لأن تجاوز المصادقة في أجهزة VPN الطرفية قد يتسبب في أضرار كارثية للمؤسسات، يجب على مديري تقنية المعلومات اتخاذ إجراءات فورية. يوصي موقع تيكبامين كافة المؤسسات بتطبيق التحديثات الأمنية وتصحيحات الموردين بأسرع وقت ممكن لحماية بياناتها.
ولحين التمكن من تطبيق التصحيح البرمجي الشامل، يجب الاعتماد على الإجراءات الوقائية المؤقتة التالية:
- تعطيل الميزة: إيقاف تشغيل خاصية تجاوز المصادقة (Authentication Override) بشكل كامل مؤقتاً.
- تحديث الشهادات: إنشاء شهادة رقمية جديدة وتخصيصها حصرياً لاستخدام ميزة تجاوز المصادقة لمنع استغلال الشهادات القديمة.
- مراقبة السجلات: تكثيف المراقبة على سجلات الوصول للشبكة لاكتشاف أي محاولات تسجيل دخول غير مألوفة.
ما علاقة الهجوم بثغرات نقاط النهاية الأخيرة؟
يأتي استغلال ثغرة CVE-2026-0257 تزامناً مع تقارير أمنية أخرى حذرت من استمرار تسليح ثغرات أمنية حرجة في أنظمة إدارة نقاط النهاية. ومن أبرزها الثغرة التي تم ترقيعها مؤخراً في أنظمة FortiClient EMS والتي حملت الرمز CVE-2026-35616 بتقييم خطورة بالغ 9.1.
وقد تم استغلال تلك الثغرة لنشر برمجيات خبيثة متخصصة في سرقة بيانات الاعتماد تُعرف باسم EKZ Infostealer. هذا التزامن الملحوظ يؤكد تصاعد استهداف البنية التحتية الطرفية (Edge Appliances) كبوابة أولى ومفضلة لاختراق الشركات.
في الختام، تؤكد هذه الهجمات المتتالية أن تأمين بوابات الشبكة الافتراضية الخاصة لم يعد خياراً، بل هو خط الدفاع الأول الذي يجب تحديثه ومراقبته على مدار الساعة لمنع المتسللين من الوصول إلى الأصول الرقمية الحساسة.
