أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة الأمنية (CVE-2026-0257 بتقييم CVSS عند 9.1) في نظام التشغيل PAN-OS التابع لشركة Palo Alto Networks، ضمن قائمة الثغرات المعروفة المستغلة فعلياً (KEV). وجاء هذا الإجراء بعد تأكيد استغلال الثغرة في هجمات استهدفت أجهزة لم تثبت التحديثات الأمنية اللازمة. وتكمن خطورة هذه الثغرة في سماحها بتجاوز آليات المصادقة في نظام GlobalProtect، وإنشاء اتصالات شبكة افتراضية خاصة (VPN) غير مصرح بها، ما يرفع مستوى التهديد على البيئات المؤسسية التي تعتمد على بوابات الوصول عن بُعد لتأمين دخول الموظفين والمستخدمين إلى الشبكات الداخلية.
ثغرة تسمح بإنشاء اتصال VPN غير مصرح به عبر إعدادات محددة في GlobalProtect
أوضحت شركة Palo Alto Networks في إشعارها الأمني أن هذا الخلل الأمني يؤثر في بوابة GlobalProtect portal وواجهة GlobalProtect gateway عند تفعيل إعدادات معينة، مؤكدة في الوقت ذاته عدم تأثر منصات Panorama وCloud NGFW بهذه الثغرة. وصنفت الشركة الخلل بأنه مشكلة تجاوز لآليات المصادقة تتيح للمهاجم تخطي الضوابط الأمنية والنفاذ إلى الشبكة عبر اتصال VPN دون تفويض.
ويرتبط نجاح استغلال هذه الثغرة بتفعيل ميزة تجاوز المصادقة في GlobalProtect portal أو GlobalProtect gateway، بالتزامن مع تهيئة محددة للشهادات الرقمية؛ إذ تظهر الفجوة الأمنية عند استخدام شهادة رقمية مشتركة بين ملفات تعريف الارتباط الخاصة بميزة تجاوز المصادقة وخدمات أخرى. ويمكن هذا السيناريو المهاجم من تزوير ملف تعريف ارتباط صالح، واستخدامه لتحقيق الوصول دون الحاجة إلى بيانات اعتماد حقيقية.
رصد موجتين من الاستغلال
وفي سياق متصل، أعلنت شركة Rapid7 رصد حالات استغلال ناجحة للثغرة لدى عدد من عملائها، مشيرة إلى أن يوم السبت 17 مايو 2026 يمثل أقدم تاريخ جرى توثيق نشاط مرتبط بهذا الخلل فيه. وتتبعت الشركة موجة أولى من السلوك المشبوه يوم الأحد 18 مايو 2026، تمثلت في عمليات مصادقة تعتمد على ملفات تعريف الارتباط لحسابات إدارية محلية. تلتها موجة ثانية يوم الأربعاء 21 مايو 2026، تضمنت في بعض الحالات تخصيص عناوين بروتوكول الإنترنت سمحت للمهاجمين بالوصول المباشر إلى الشبكات الداخلية.
وأفادت Rapid7 بأن الحوادث المرصودة تشاركت سمات تقنية متكررة، منها استخدام اسمي الجهازين GP-CLIENT وDESKTOP-GP01، واستخدام عنوان تحكم وصول للوسائط منتحل هو aa:bb:cc:dd:ee:ff. كما حددت الشركة مجموعة من عناوين بروتوكول الإنترنت التي ظهرت كمؤشرات اختراق (IoCs)، وهي: 104.207.144.154، و146.19.216.119، و146.19.216.120، و146.19.216.125.
التحديثات وحدها لا تكفي مع الحاجة إلى تعديل إعدادات الشهادات والمصادقة
حددت شركة Palo Alto Networks الإصدارات البرمجية المصححة بدقة؛ حيث شملت النسخ الآمنة تحديثات فرعية معينة ضمن سلاسل نظام PAN-OS الرئيسية (12.1، و11.2، و11.1، و10.2). أما بالنسبة لمنصة Prisma Access، فقد اقتصرت الإصدارات الآمنة على النسخة 11.2.7-h13 والنسخة 10.2.10-h36 والإصدارات الأحدث منهما.
ونبهت الشركة إلى أن معالجة هذا الخطر لا تقتصر على تثبيت التحديثات البرمجية فحسب، بل أوصت بتعطيل ميزة تجاوز المصادقة في حال عدم وجود حاجة تشغيلية لها، أو تخصيص شهادة رقمية مستقلة لملفات تعريف الارتباط المتعلقة بهذه الميزة، وضمان عدم تكرار استخدامها كشهادة HTTPS الخاصة بالبوابة أو المنفذ. وأشارت Palo Alto Networks إلى أن التحديث الأمني سيعيد توليد ملفات تعريف الارتباط بآلية أكثر أماناً، وهو ما يتطلب من مستخدمي GlobalProtect إعادة تسجيل الدخول والمصادقة لمرة واحدة بعد إتمام ترقية النظام.
