وكالة الأمن السيبراني الأمريكية تأمر الجهات الفيدرالية بتصحيح ثغرة حرجة في شبكة 'بالو ألتو' اليوم

لا يتطلب هذا الهجوم أي تفاعل من المستخدم ولا أي صلاحيات على النظام المستهدف. يمكن استغلاله عبر الشبكة وبتعقيد منخفض، وهو ما يفسر تصنيفه النهائي كتهديد بالغ الخطورة .

تصعيد سريع في الخطورة من متوسطة إلى حرجة

عندما نشرت شركة 'بالو ألتو نتوركس' استشارتها الأمنية لأول مرة في 13 مايو 2026، صنفت الثغرة (CVE-2026-0257) على أنها متوسطة الخطورة بدرجة CVSS تبلغ 7.8 . ولا تزال العديد من وسائل الإعلام المتخصصة في الأمن السيبراني تتناقل هذا التقييم الأصلي.

إلا أن إعادة تحليل من قاعدة بيانات الثغرات الوطنية الأمريكية (NVD)، تبعتها وكالات حكومية أخرى، أدت إلى تصعيد درجتها بشكل كبير. اعتباراً من 29 مايو 2026، قامت قاعدة بيانات NVD بإثراء السجل وتم رفع درجة الخطورة الحكومية الرسمية إلى تقييم حرج CVSS v3.1 بمقدار 9.1 . وتعكس وكالة الأمن السيبراني السنغافورية (CSA) وموجزات CVE المختلفة هذا التقييم الحرج البالغ 9.1 . هذه الفجوة بين التقييم الأولي للبائع والتقييم النهائي للوكالات الحكومية هي تفصيلة حاسمة أدت بالعديد من المؤسسات إلى التقليل من أولوية التصحيح خلال الأسابيع الأولى من الاستغلال.

الجدول الزمني للهجمات: موجتان من عناوين IP لشركة 'فولتر'

كان الوقت بين الإفصاح عن الثغرة والاستغلال الفعلي قصيراً للغاية. لاحظ فريق الكشف والاستجابة المُدارة لدى شركة الأمن 'Rapid7' بداية أولى عمليات الاستغلال الناجحة في 17 مايو، أي بعد أربعة أيام فقط من نشر الاستشارة . وبحلول 29 مايو، أضافت وكالة CISA هذه الثغرة إلى كتالوج الثغرات المستغلة لديها ووضعت مهلة إلزامية للجهات الفيدرالية الأمريكية للتصحيح، وهو الأول من يونيو 2026 .

تم تأكيد موجتي هجوم متميزتين. نشأت الموجة الأولى من بنية تحتية تستضيفها شركة 'فولتر' (Vultr) في 17-18 مايو، وتلتها موجة ثانية من بنية تحتية لشركة 'دروماتيك سيستمز' (Dromatics Systems) في 21 مايو . يشير التحليل الاستخباري إلى استخدام عناوين MAC متسقة عبر كلتا الموجتين، مما يوحي بأن جهة تهديد واحدة هي المسؤولة . في كل حالة تمت مراقبتها، قام المهاجمون بتزوير ملفات تعريف ارتباط لتجاوز المصادقة لاستهداف حساب المسؤول المحلي على الأجهزة المخترقة مباشرة .

بشكل حاسم، بينما أكدت شركة 'Rapid7' نجاح إنشاء اتصالات VPN عبر 8 من أصل 10 عملاء متأثرين، إلا أن المحققين لم يرصدوا بعد أي حركة جانبية ناجحة من الأجهزة المخترقة . توفر هذه التفصيلة نافذة فرصة صغيرة ولكنها بالغة الأهمية للمدافعين لاحتواء الاختراق قبل أن يتعمق المهاجمون في الشبكات.

إثبات المفهوم والمنتجات المتأثرة

يتضاعف الخطر بسبب التوافر العلني للكود الاستغلالي. تؤكد تقارير استخباراتية متعددة وجود إثبات مفهوم واحد على الأقل، وعلى الأرجح عدة براهين، في مستودعات عامة، مما يقلل من حاجز الدخول أمام هجمات إضافية .

المنتجات المتأثرة محددة بوضوح. تؤثر الثغرة على إصدارات PAN-OS 10.2 و11.1 و11.2 و12.1 على أجهزة الجدران النارية من سلسلتي PA و VM، بالإضافة إلى خدمة Prisma Access . هناك خطان رئيسيان من المنتجات غير متأثرين بشكل قاطع، وهما أجهزة إدارة Panorama ونشرات الجيل التالي من الجدران النارية السحابية Cloud NGFW .

خطوات فورية للتخفيف والمعالجة

أصدرت شركة 'بالو ألتو نتوركس' تحديثات تصحيح لجميع فروع البرمجيات الثابتة المدعومة. إصدارات البرامج المُحدثة التي تحتوي على الإصلاح هي نفس التحديثات التي تفرض الآن رفض ملفات تعريف الارتباط المزورة .

أشمل استراتيجية للتخفيف تتضمن أربعة إجراءات فورية.

أولاً، قم بتحديث نظام التشغيل PAN-OS إلى أحدث إصدار تم تصحيحه للفرع الذي تستخدمه. تشمل الإصدارات التي تم إصلاحها لـ PAN-OS 12.1 الإصدارين 12.1.4-h6 و 12.1.7؛ ولإصدار 11.2 تشمل 11.2.4-h17 و 11.2.7-h14 و 11.2.10-h7 و 11.2.12؛ وتوجد إصدارات مقابلة مماثلة للإصدارين 11.1 و 10.2 . كما يجب تحديث مستأجري خدمة Prisma Access إلى الإصدارات التي تم إصلاحها.

ثانياً، إذا لم تكن خاصية 'تجاوز المصادقة باستخدام ملفات تعريف الارتباط' ضرورية للغاية لعمليات أعمالك، قم بتعطيلها بالكامل. هذا يزيل الشرط المسبق للثغرة تماماً، وليس فقط الاستغلال .

ثالثاً، أعد تكوين نشر الشهادات. لا تقم أبداً بإعادة استخدام نفس الشهادة الرقمية لواجهة إدارة HTTPS ولتشفير ملفات تعريف الارتباط لـ'جلوبال بروتكت'. استخدام شهادة مخصصة لتشفير ملفات تعريف الارتباط يقطع الآلية التي يمكن من خلالها بناء ملف تعريف ارتباط مزور وصالح .

رابعاً، ابدأ فوراً في التدقيق النشط للسجلات. ابحث عن أحداث إنشاء جلسات غير طبيعية، أو اتصالات من عناوين IP غير مألوفة - خاصة من البنية التحتية المعروفة للمهاجمين مثل النطاق الخاص بشركة 'فولتر' - واستخدام غير متوقع لخاصية تجاوز المصادقة بملفات تعريف الارتباط . نظراً لأن الحركة الجانبية لم تتأكد بعد، فإن تدقيق السجلات هو حالياً أفضل أداة لديك لتحديد ما إذا كان الاختراق قد حدث بالفعل.

مهلة وكالة CISA في 1 يونيو هي اليوم. المؤسسات التي لم تطبق بعد هذه التصحيحات تعمل الآن تحت تهديد مؤكد ومستغل بشكل نشط وبخطورة بالغة. نافذة التصحيح قبل الانتقال إلى التحقيق الجنائي الرقمي، بدلاً من الإجراء الوقائي، تكاد تنغلق.