كشفت شركة Palo Alto Networks عن ثغرة أمنية حرجة في برنامج PAN-OS تحمل الرمز CVE-2026-0300، وهي ثغرة تجاوز سعة الذاكرة في خدمة User-ID Authentication Portal، يمكن أن تسمح لمهاجم غير موثّق بتنفيذ تعليمات برمجية عشوائية بصلاحيات الجذر عبر إرسال حزم مصممة خصيصًا. هذه الثغرة، التي حصلت على تقييم خطورة مرتفع (CVSS 9.3/8.7)، تم رصد محاولات استغلالها منذ التاسع من أبريل 2026، قبل أن يتم الإعلان عنها رسميًا.
تفاصيل الاستغلال والأنشطة اللاحقة
أوضحت وحدة Unit 42 التابعة للشركة أن المهاجمين تمكنوا من حقن shellcode داخل عملية nginx بعد الحصول على تنفيذ عن بُعد غير موثّق. عقب ذلك، قاموا بمسح سجلات الأعطال ورسائل النواة وحذف ملفات التفريغ لتغطية آثارهم.
في 29 أبريل 2026، توسعت أنشطة ما بعد الاستغلال لتشمل استطلاع Active Directory وإسقاط أدوات إضافية مثل EarthWorm وReverseSocks5 على جهاز ثانٍ، وهما أداتان سبق استخدامهما من قبل مجموعات قرصنة مرتبطة بالصين.
التخفيف والإجراءات الوقائية
أوصت Palo Alto عملاءها بتقييد الوصول إلى User-ID Authentication Portal على مناطق موثوقة فقط، أو تعطيله إذا لم يكن مستخدمًا. كما نصحت بتعطيل Response Pages في ملفات إدارة الواجهة لأي واجهة من الطبقة الثالثة تستقبل حركة مرور غير موثوقة.
بالإضافة إلى ذلك، يمكن للعملاء الذين يستخدمون Advanced Threat Prevention منع محاولات الاستغلال عبر تفعيل Threat ID 510019 من إصدار المحتوى 9097-10022. ومن المقرر أن تبدأ الشركة في إصدار الإصلاحات الأمنية اعتبارًا من 13 مايو 2026.
خلفية التهديدات المرتبطة بالدول
تتابع Palo Alto النشاط تحت الرمز CL-STA-1132، وهو عنقود تهديد يُعتقد أنه مدعوم من دولة، لكن مصدره غير معروف حتى الآن. وأشارت الشركة إلى أن المهاجمين اعتمدوا على أدوات مفتوحة المصدر بدلًا من برمجيات خبيثة خاصة، مما ساعدهم على تقليل فرص الكشف القائم على التواقيع، والاندماج بسلاسة في بيئات الشبكات المستهدفة.
هذا النهج، إلى جانب جلسات تفاعلية متقطعة على مدى أسابيع، مكّنهم من البقاء تحت عتبة التنبيهات الآلية، وهو أسلوب يعكس خبرة عالية في عمليات التجسس السيبراني.
دلالات استراتيجية على أمن الشبكات
خلال السنوات الخمس الماضية، ركزت مجموعات التجسس السيبراني المدعومة من دول على الأصول التقنية لشبكات الأطراف مثل الجدران النارية، الموجّهات، أجهزة إنترنت الأشياء، والمُشغّلات الافتراضية، إضافة إلى حلول VPN. هذه الأصول تمنح وصولًا عالي الامتياز لكنها غالبًا تفتقر إلى أدوات المراقبة الأمنية المتقدمة الموجودة في نقاط النهاية التقليدية.
الهجوم الأخير على PAN-OS يؤكد أن هذه الأصول باتت هدفًا رئيسيًا، وأن المؤسسات بحاجة إلى تعزيز قدراتها الدفاعية، ليس فقط عبر تحديثات البرمجيات، بل أيضًا عبر سياسات وصول صارمة، مراقبة دقيقة، واستخدام أدوات كشف متقدمة.
