امنیت سایبریnews

پالو آلتو نت‌ورکز می‌گوید نقص PAN-OS GlobalProtect در حال سوءاستفاده فعال است

توسط Doppler Team3 دقیقه مطالعه
پالو آلتو نت‌ورکز می‌گوید نقص PAN-OS GlobalProtect در حال سوءاستفاده فعال است

حملات فعال علیه VPNهای سازمانی

پالو آلتو نت‌ورکز هشدار داده است که مهاجمان در حال سوءاستفاده فعال از یک آسیب‌پذیری دورزدن احراز هویت PAN-OS GlobalProtect هستند که می‌تواند به آن‌ها اجازه دهد اتصال‌های VPN غیرمجاز روی دستگاه‌های شرکتی برقرار کنند.

این نقص که با شناسه CVE-2026-0257 ردیابی می‌شود، اوایل این ماه وصله شد. پالو آلتو ابتدا آن را با شدت متوسط رتبه‌بندی کرد و گفت برای بهره‌برداری لازم است دستگاه‌ها با کوکی‌های جایگزینی احراز هویت (authentication override cookies) فعال پیکربندی شده باشند و یک تنظیم گواهی مشخص وجود داشته باشد. روز جمعه، شرکت در اطلاعیه خود تجدید نظر کرد و گفت از تلاش‌های محدودی برای بهره‌برداری علیه دستگاه‌های PAN-OS که وصله نشده‌اند و بدون کاهش‌دهنده‌های لازم آگاه شده است و شدت مسئله را به بالا افزایش داد.

"پرتال و دروازه GlobalProtect از نرم‌افزار PAN-OS پالو آلتو نت‌ورکز به مهاجم اجازه می‌دهد تا محدودیت‌های امنیتی را دور بزند و یک اتصال VPN غیرمجاز برقرار کند،" شرکت در اطلاعیه خود گفت.

این به‌روزرسانی پس از هشدار جداگانه‌ای از رپید7 منتشر شد که گفت مشاهده کرده است بهره‌برداری موفقیت‌آمیزی در میان مشتریان متعدد از 17 مه آغاز شده است. رپید7 گفت شواهدی از حرکت جانبی موفق از دستگاه‌های آسیب‌پذیر ندیده، اما اشاره کرد که این آسیب‌پذیری از 29 مه 2026 به فهرست آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده CISA اضافه شده است.

طبق گزارش رپید7، حملات از کوکی‌های جعلی جایگزینی احراز هویت برای احراز هویت به دروازه‌های GlobalProtect استفاده کردند و حساب مدیر محلی را هدف قرار دادند. شرکت گفت اولین بار بهره‌برداری را در 18 مه از زیرساخت میزبانی‌شده توسط ولتر مشاهده کرده و موج دوم را در 21 مه که منشاء آن دروماتیکس سیستمز بوده، بعد از آن مشاهده کرده است.

در برخی موارد، مهاجمان توانستند با استفاده از کوکی‌های جعلی به دستگاه‌ها از طریق VPN متصل شوند و به شبکه‌های داخلی دسترسی پیدا کنند. در وقایع دیگر، دستگاه کوکی جعلی را پذیرفت اما یک جلسه کامل VPN قابل برقراری نبود.

رپید7 گفت دستگاه‌های متاثر کوکی‌های جایگزینی احراز هویت GlobalProtect را فعال داشتند و به گونه‌ای پیکربندی شده بودند که به مهاجمان اجازه می‌داد کوکی‌های معتبر جعل کنند. مسئله از فرایند اعتبارسنجی PAN-OS ناشی می‌شود: دستگاه VPN کوکی را با یک کلید خصوصی پیکربندی‌شده رمزگشایی می‌کند و محتوای رمزگشایی‌شده را بدون انجام بررسی امضا مورد اعتماد قرار می‌دهد. اگر از همان گواهی برای خدمات HTTPS و کوکی‌های جایگزینی احراز هویت استفاده شود، مهاجم می‌تواند کلید عمومی را از طریق جلسه HTTPS به‌دست آورد و از آن برای ساخت کوکی‌ای استفاده کند که دستگاه آن را به‌عنوان معتبر می‌پذیرد.

منابع:

Doppler VPN: 6 موقعیت سرور، پروتکل VLESS، بدون ردیابی. شروع رایگان.

امنیت سایبریnews

اشتراک‌گذاری مقاله

از مرور خود محافظت کنید. Doppler VPN نیاز به ثبت‌نام ندارد و هیچ گزارشی ذخیره نمی‌کند. ۳ روز رایگان امتحان کنید.

۳ روز رایگان امتحان کنید