Palo Alto تحذر من استغلال نشط لثغرة RCE في PAN-OS

حذرت Palo Alto Networks عملاءها من أن المهاجمين يستغلون بالفعل ثغرة حرجة في PAN-OS تحمل المعرف CVE-2026-0300، ويمكن أن تسمح بتنفيذ remote code execution بدون مصادقة وبصلاحيات root على أجهزة firewall المكشوفة. وتؤثر هذه الثغرة في User-ID Authentication Portal، المعروف أيضا باسم Captive Portal، على أجهزة PA-Series وVM-Series.

هذا النوع من المشكلات الأمنية يقفز مباشرة إلى أعلى قائمة patch داخل المؤسسات، حتى قبل توفر patch فعلي. فوجود ثغرة قابلة للاستغلال عن بعد في برمجيات firewall الطرفية يعد أمرا بالغ الخطورة بحد ذاته. وعندما تقول Palo Alto إن الاستغلال جار بالفعل، فإن المسألة تتحول إلى مراجعة فورية للتعرض في اليوم نفسه لأي جهة تشغل أنظمة متأثرة ويكون هذا portal متاحا من الإنترنت العام أو من شبكة أخرى غير موثوقة.

وبحسب Palo Alto والتغطية اللاحقة من BleepingComputer، فإن الثغرة عبارة عن buffer overflow في خدمة Authentication Portal. وتقول الشركة إنها قد تتيح لمهاجم غير موثق تنفيذ شيفرة عشوائية بصلاحيات root عبر إرسال packet مصممة خصيصا إلى الأنظمة المكشوفة. كما أشار BleepingComputer إلى أن Shadowserver كان يتابع أكثر من 5,800 جهاز PAN-OS VM-Series مكشوفا على الإنترنت وقت نشر التقرير، وهو ما يعطي فكرة عن حجم البيئات التي قد تحتاج إلى مراجعة عاجلة.

يعتمد مستوى الخطر الفوري بدرجة كبيرة على الإعدادات. وتقول Palo Alto إن الأنظمة الأعلى خطرا هي تلك التي تكشف User-ID Authentication Portal لعناوين IP غير موثوقة أو للإنترنت المفتوح. أما المؤسسات التي لا تستخدم هذا portal، أو التي سبق أن قيدته على الشبكات الداخلية الموثوقة فقط، فهي في وضع أفضل. لكن هذه بالضبط من الميزات التي قد تبقى مفعلة لفترة أطول مما تتوقعه الفرق، خصوصا ضمن قوالب firewall الموروثة أو عمليات النشر القديمة في الفروع.

والتفصيل الأكثر إزعاجا هو أن الثغرة ما تزال بلا patch بينما الاستغلال يحدث بالفعل. وهذا يعني أن فرق الدفاع لا تحصل على التسلسل المعتاد من advisory ثم نافذة patch ثم rollout منظم. وبدلا من ذلك، عليها أولا تحديد مواضع التعرض ثم تخفيف الخطر عبر تقييد الوصول أو تعطيل الميزة. وتوصي Palo Alto بحصر Authentication Portal ضمن zones موثوقة فقط، أو تعطيله بالكامل إذا لم تكن هناك حاجة إليه.

كما يسلط ذلك الضوء على نمط أوسع في الأمن. فمخاطر firewall لم تعد تقتصر على packet filtering أو واجهات الإدارة. فالأجهزة الأمنية اليوم تأتي مزودة بخدمات هوية وcaptive portal ومكونات remote access وميزات workflow توسع سطح الهجوم المحيط بالجهاز نفسه. وعندما تصبح إحدى هذه الخدمات عرضة للثغرات، يمكن أن يتحول firewall من حاجز دفاعي إلى نقطة دخول.

وبالنسبة للمدافعين، ينبغي أن تكون الاستجابة مباشرة وعاجلة. احصروا أجهزة PAN-OS، وتأكدوا مما إذا كان Authentication Portal مفعلا، وتحققوا مما إذا كان متاحا خارجيا، وقيدوا الوصول فورا، واستعدوا لنشر إصلاحات Palo Alto بمجرد توفرها. كما ينبغي لفرق الأمن مراجعة السجلات وnetwork telemetry بحثا عن طلبات غير معتادة تستهدف portal، ولا سيما على appliances المواجهة للإنترنت.

ليست كل advisory أمنية حرجة تستحق خبرا مستقلا. هذه تستحق ذلك لأنها تجمع بين ثلاثة عناصر نادرا ما تبقى تحت السيطرة طويلا: بنية طرفية مكشوفة، وremote code execution بدون مصادقة، واستغلال نشط مؤكد. وبالنسبة للمؤسسات التي تستخدم إعدادات PAN-OS المتأثرة، فهذه ليست مجرد مخاطر خلفية. إنها مشكلة حية لمنع incident قبل وقوعه.