پالو آلٹو نیٹ ورکس کا کہنا ہے کہ پین-او ایس گلوبل پروٹیکٹ کی خامی کو فعال طور پر استحصال کیا جا رہا ہے
ادارہ جاتی VPNs کے خلاف فعال حملے
پالو آلٹو نیٹ ورکس خبردار کر رہا ہے کہ حملہ آور پین-او ایس گلوبل پروٹیکٹ کی ایک توثیق بائی پاس کمزور پوائنٹ کا فعال طور پر استحصال کر رہے ہیں جو انہیں کارپوریٹ ڈیوائسز پر غیر مجاز VPN کنکشن قائم کرنے کی اجازت دے سکتا ہے۔
یہ خامی، جسے سی وی ای-2026-0257 کے طور پر ٹریک کیا گیا ہے، اس ماہ کے اوائل میں پیچ کی گئی تھی۔ پالو آلٹو نے ابتدا میں اسے درمیانے درجے کی شدت قرار دیا تھا اور کہا تھا کہ استحصال کے لیے ڈیوائسز پر authentication override cookies فعال اور ایک مخصوص سرٹیفیکیٹ کنفیگریشن درکار ہے۔ جمعہ کو کمپنی نے اپنی ایڈوائزری میں ترمیم کی، کہا کہ اسے بغیر mitigations والے بغیر پیچ شدہ پین-او ایس ڈیوائسز کے خلاف محدود استحصال کی کوششوں کا علم ہوا ہے اور اس معاملے کی شدت کو اعلیٰ (High) درجے پر اٹھایا گیا ہے۔
"پین-او ایس سافٹ ویئر کے گلوبل پروٹیکٹ پورٹل اور گیٹ وے سے حملہ آور سیکیورٹی پابندیوں کو بائی پاس کر کے غیر مجاز VPN کنکشن قائم کر سکتے ہیں،" کمپنی نے اپنی ایڈوائزری میں کہا۔
یہ اپ ڈیٹ Rapid7 کی ایک علیحدہ وارننگ کے بعد سامنے آئی، جس میں کہا گیا کہ اس نے متعدد صارفین کے خلاف 17 مئی سے کامیاب استحصال مشاہدہ کیے۔ Rapid7 نے کہا کہ اس نے متاثرہ ڈیوائسز سے lateral movement کے کامیاب ثبوت نہیں دیکھے، لیکن نوٹ کیا کہ اس کمزوری کو 29 مئی 2026 سے سیزا کے Known Exploited Vulnerabilities کیٹلاگ میں شامل کر دیا گیا ہے۔
Rapid7 کے مطابق، حملوں میں جعلی authentication override cookies کا استعمال کر کے گلوبل پروٹیکٹ گیٹ ویز پر تصدیق کی گئی اور مقامی ایڈمنسٹریٹر اکاؤنٹ کو نشانہ بنایا گیا۔ کمپنی نے کہا کہ اس نے پہلی بار 18 مئی کو استحصال دیکھا، جو Vultr کی میزبانی کردہ انفراسٹرکچر سے آیا، اور پھر 21 مئی کو ایک دوسرے مرحلے میں Dromatics Systems سے نکلا۔
کچھ معاملات میں، حملہ آوروں نے جعلی کوکیز کا استعمال کرتے ہوئے VPN کے ذریعے ڈیوائسز سے کنیکٹ کر کے اندرونی نیٹ ورکس تک رسائی حاصل کی۔ دیگر واقعات میں، آلہ نے جعلی کوکی قبول کر لی مگر مکمل VPN سیشن قائم نہیں ہو سکا۔
Rapid7 نے کہا کہ متاثرہ ڈیوائسز پر گلوبل پروٹیکٹ authentication override cookies فعال تھیں اور ایسی ترتیب رکھی گئی تھی کہ حملہ آور درست کوکیز جعلسازی کر سکتے تھے۔ مسئلہ پین-او ایس کے ویلیڈیشن عمل سے پیدا ہوتا ہے: VPN ڈیوائس کوکی کو ایک کنفیگر کردہ پرائیویٹ کی کے ساتھ ڈی کرپٹ کرتا ہے اور ڈی کرپٹ شدہ مواد پر بغیر سائنچر ویریفیکیشن کیے اعتماد کر لیتا ہے۔ اگر ایک ہی سرٹیفیکیٹ کو HTTPS سروسز اور authentication override cookies دونوں کے لیے استعمال کیا جائے، تو حملہ آور HTTPS سیشن کے ذریعے پبلک کی حاصل کر سکتا ہے اور اسے استعمال کر کے ایسی کوکی بنا سکتا ہے جسے ڈیوائس جائز تسلیم کر لے۔
ذرائع:
Doppler VPN: 6 server locations, VLESS protocol, zero tracking. Get started free.