Palo Alto درباره بهره برداری فعال از ضعف RCE در PAN-OS هشدار داد

Palo Alto Networks به مشتریان خود هشدار داده است که مهاجمان هم اکنون در حال سوءاستفاده از یک آسیب پذیری بحرانی در PAN-OS با شناسه CVE-2026-0300 هستند؛ ضعفی که می تواند روی firewall های در معرض اینترنت، امکان remote code execution بدون احراز هویت با دسترسی root را فراهم کند. این نقص، User-ID Authentication Portal یا همان Captive Portal را در دستگاه های PA-Series و VM-Series تحت تاثیر قرار می دهد.

این دقیقا از آن دسته رخدادهای امنیتی است که حتی پیش از انتشار patch، بلافاصله به صدر فهرست patch در سازمان می رود. یک باگ قابل سوءاستفاده از راه دور در نرم افزار firewall مرزی به خودی خود بسیار جدی است. وقتی Palo Alto می گوید exploitation از همین حالا آغاز شده، موضوع برای هر سازمانی که سامانه های آسیب پذیرش این portal را از اینترنت عمومی یا هر شبکه غیرقابل اعتماد در دسترس دارد، به یک بررسی فوری در همان روز تبدیل می شود.

براساس اعلام Palo Alto و گزارش تکمیلی BleepingComputer، این آسیب پذیری یک buffer overflow در سرویس Authentication Portal است. شرکت می گوید مهاجم بدون احراز هویت می تواند با ارسال packet های دستکاری شده به نمونه های در معرض دید، کد دلخواه را با سطح root اجرا کند. BleepingComputer همچنین اشاره کرد که Shadowserver در زمان انتشار گزارش، بیش از 5,800 firewall از نوع PAN-OS VM-Series را که از اینترنت قابل دسترسی بودند رصد کرده بود، عددی که نشان می دهد چه تعداد محیط ممکن است به بازبینی فوری نیاز داشته باشند.

ریسک فوری این نقص تا حد زیادی به پیکربندی بستگی دارد. Palo Alto می گوید پرریسک ترین سامانه ها آنهایی هستند که User-ID Authentication Portal را در معرض IPهای غیرقابل اعتماد یا اینترنت باز قرار داده اند. سازمان هایی که از این portal استفاده نمی کنند، یا دسترسی آن را از قبل فقط به شبکه های داخلی مورد اعتماد محدود کرده اند، در وضعیت بهتری قرار دارند. با این حال، این دقیقا همان نوع قابلیتی است که ممکن است بیشتر از تصور تیم ها فعال باقی بماند، به ویژه در template های firewall به ارث رسیده یا استقرارهای قدیمی شعب.

بخش نگران کننده تر ماجرا این است که exploitation در حال انجام است، در حالی که هنوز patchی برای نقص منتشر نشده. این یعنی مدافعان دیگر با توالی معمول advisory، پنجره patch و rollout منظم روبه رو نیستند. در عوض، ابتدا باید سطح exposure را شناسایی کنند و سپس با محدودسازی دسترسی یا غیرفعال کردن قابلیت، اثر آن را کاهش دهند. توصیه Palo Alto این است که Authentication Portal فقط برای zoneهای مورد اعتماد در دسترس باشد، یا اگر نیازی به آن نیست، کاملا غیرفعال شود.

این رخداد همچنین یک الگوی گسترده تر در امنیت را برجسته می کند. ریسک firewall دیگر فقط به packet filtering یا interface های مدیریتی محدود نیست. تجهیزات امنیتی امروز با سرویس های هویتی، captive portal، مؤلفه های remote access و قابلیت های workflow عرضه می شوند و همین موضوع سطح حمله پیرامون خود دستگاه را بزرگ تر می کند. وقتی یکی از این سرویس ها آسیب پذیر باشد، firewall می تواند به جای مانع، به نقطه ورود مهاجم تبدیل شود.

برای تیم های دفاعی، واکنش باید ساده اما فوری باشد. همه دستگاه های PAN-OS را inventory کنید، بررسی کنید آیا Authentication Portal فعال است یا نه، مشخص کنید آیا از بیرون قابل دسترس است، بلافاصله دسترسی را محدود کنید و برای استقرار fixهای Palo Alto به محض انتشار آماده باشید. تیم های امنیتی همچنین باید logها و network telemetry را برای درخواست های غیرعادی که portal را هدف می گیرند، به ویژه روی appliance های internet-facing، بازبینی کنند.

هر advisory بحرانی امنیتی لزوما ارزش تبدیل شدن به خبر را ندارد. این مورد دارد، چون سه عامل را کنار هم می گذارد که معمولا برای مدت طولانی مهار نمی شوند: زیرساخت مرزی در معرض دید، remote code execution بدون احراز هویت، و بهره برداری فعال تاییدشده. برای سازمان هایی که از پیکربندی های آسیب پذیر PAN-OS استفاده می کنند، این فقط یک ریسک پس زمینه ای نیست. این یک مسئله زنده برای پیشگیری از incident است.