Palo Alto Networks تقول إن ثغرة PAN-OS GlobalProtect تُستغل بنشاط
هجمات نشطة ضد شبكات VPN المؤسسية
تحذر Palo Alto Networks من أن المهاجمين يستغلون بنشاط ثغرة تجاوز المصادقة في PAN-OS GlobalProtect التي قد تسمح لهم بإنشاء اتصالات VPN غير مصرح بها على أجهزة الشركات.
تم تصحيح الثغرة، المعروفة برقم CVE-2026-0257، في وقت سابق من هذا الشهر. صنفت Palo Alto في البداية شدتها على أنها متوسطة، مشيرة إلى أن الاستغلال يتطلب إعداد الأجهزة مع تمكين ملفات تعريف الارتباط لتجاوز المصادقة وتكوين شهادة محددة. يوم الجمعة عدلت الشركة نشرتها التحذيرية بعد أن علمت بمحاولات استغلال محدودة ضد أجهزة PAN-OS غير المحدثة ورفعت مستوى التصنيف إلى مرتفع.
"يسمح بوابة وبوابة GlobalProtect في برنامج Palo Alto Networks PAN-OS للمهاجم بتجاوز قيود الأمان وإقامة اتصال VPN غير مصرح به»، قالت الشركة في نشرتها التحذيرية.
تأتي هذه التحديثات عقب تحذير منفصل من Rapid7، التي قالت إنها رصدت استغلالات ناجحة عبر العديد من العملاء بدءًا من 17 مايو. وأوضحت Rapid7 أنها لم تر دليلًا على حركة جانبية ناجحة من الأجهزة المتأثرة، لكنها أشارت إلى أن الثغرة أُضيفت إلى كتالوج CISA Known Exploited Vulnerabilities اعتبارًا من 29 مايو 2026.
وفقًا لـ Rapid7، استخدمت الهجمات ملفات تعريف ارتباط مزورة لتجاوز المصادقة والاعتماد إلى بوابات GlobalProtect واستهداف حساب المسؤول المحلي. قالت الشركة إنها رصدت أول استغلال في 18 مايو من بنية تحتية مستضافة لدى Vultr، تلاه موجة ثانية في 21 مايو منشأها Dromatics Systems.
في بعض الحالات تمكن المهاجمون من الاتصال بالأجهزة عبر VPN باستخدام ملفات تعريف الارتباط المزورة والوصول إلى الشبكات الداخلية. في حوادث أخرى، قبل الجهاز ملف تعريف الارتباط المزور لكن لم يتمكن من إنشاء جلسة VPN كاملة.
قالت Rapid7 إن الأجهزة المتأثرة كانت تملك تمكينًا لملفات تعريف الارتباط الخاصة بتجاوز مصادقة GlobalProtect وكانت مُهيأة بطريقة سمحت للمهاجمين بتزوير ملفات تعريف ارتباط صحيحة. تنبع المشكلة من عملية التحقق في PAN-OS: يقوم جهاز VPN بفك تشفير ملف تعريف الارتباط بمفتاح خاص مُكوّن ويثق في المحتويات المفككة دون إجراء تحقق من التوقيع. إذا استُخدمت نفس الشهادة لكل من خدمات HTTPS وملفات تعريف الارتباط لتجاوز المصادقة، فيمكن للمهاجم الحصول على المفتاح العام عبر جلسة HTTPS واستخدامه لإنشاء ملف تعريف ارتباط يقبله الجهاز كشرعي.
المصادر:
Doppler VPN: 6 مواقع خوادم، بروتوكول VLESS، دون تتبع. ابدأ مجانًا.