تم التعرف على ثغرة أمنية خطيرة (CVE-2026-0300) في Palo Alto Networks PAN-OS والتي تسمح للمهاجمين غير المصادقين بتنفيذ التعليمات البرمجية عن بعد (RCE) بامتيازات الجذر. تؤثر المشكلة على بوابة مصادقة معرف المستخدم (البوابة المقيدة) ويتم استغلالها بشكل نشط في حالات محدودة، خاصة عند التعرض لشبكات غير موثوقة أو الإنترنت العام.
تتمثل مشكلة عدم الحصانة في تجاوز سعة المخزن المؤقت في خدمة بوابة مصادقة معرف المستخدم. من خلال إرسال حزم شبكة مصممة خصيصًا، يمكن لمهاجم غير مصادق عليه تشغيل حالة كتابة خارج الحدود، مما يؤدي في النهاية إلى تنفيذ تعليمات برمجية عشوائية مع امتيازات الجذر على الأجهزة المتأثرة. لا يتطلب الهجوم أي مصادقة أو تفاعل من المستخدم أو شروط خاصة تتجاوز الوصول إلى الشبكة.
تكون مخاطر الاستغلال أعلى بكثير عندما يتم كشف بوابة المصادقة خارجيًا. تُستخدم الخدمة عادةً لسير عمل تعريف المستخدم (على سبيل المثال، البوابات المقيدة)، ولكن عند الوصول إليها من الإنترنت أو الشبكات غير الموثوق بها، تصبح نقطة دخول للمهاجمين عن بعد. حصلت الثغرة الأمنية على درجة CVSS تبلغ 9.3، وقد ذكرت Palo Alto أنها شهدت بالفعل استغلالًا محدودًا في البرية يستهدف الحالات المكشوفة.
تم نشر تفاصيل محدودة اعتبارًا من 6 مايو 2026. وسيستمر Wiz في تحديث منشور المدونة هذا عندما تظهر تفاصيل إضافية.
| منتج | فرع الإصدار | الإصدارات الضعيفة | الإصدار الثابت (ETA) |
|---|---|---|---|
| عموم نظام التشغيل | 12.1 | <12.1.4-h5 | 12.1.4-h5 (13/05) |
| عموم نظام التشغيل | 12.1 | <12.1.7 | 12.1.7 (28/05) |
| عموم نظام التشغيل | 11.2 | <11.2.4-ح17 | 11.2.4-h17 (05/28) |
| عموم نظام التشغيل | 11.2 | <11.2.7-ح13 | 11.2.7-h13 (05/13) |
| عموم نظام التشغيل | 11.2 | <11.2.10-h6 | 11.2.10-h6 (05/13) |
| عموم نظام التشغيل | 11.2 | <11.2.12 | 11.2.12 (28/05) |
| عموم نظام التشغيل | 11.1 | <11.1.4-ح33 | 11.1.4-h33 (05/13) |
| عموم نظام التشغيل | 11.1 | <11.1.6-ح32 | 11.1.6-h32 (05/13) |
| عموم نظام التشغيل | 11.1 | <11.1.7-h6 | 11.1.7-h6 (05/28) |
| عموم نظام التشغيل | 11.1 | <11.1.10-ح25 | 11.1.10-h25 (05/13) |
| عموم نظام التشغيل | 11.1 | <11.1.13-h5 | 11.1.13-h5 (13/05) |
| عموم نظام التشغيل | 11.1 | <11.1.15 | 11.1.15 (28/05) |
| عموم نظام التشغيل | 10.2 | <10.2.7-ح34 | 10.2.7-h34 (05/28) |
| عموم نظام التشغيل | 10.2 | <10.2.10-h36 | 10.2.10-h36 (05/13) |
| عموم نظام التشغيل | 10.2 | <10.2.13-ح21 | 10.2.13-h21 (05/28) |
| عموم نظام التشغيل | 10.2 | <10.2.16-h7 | 10.2.16-h7 (28/05) |
| عموم نظام التشغيل | 10.2 | <10.2.18-h6 | 10.2.18-h6 (13/05) |
بينما تشير بيانات Wiz إلى أن 7% من البيئات قد كشفت علنًا عن مثيلات PAN-OS، تحدد Palo Alto Networks أن الثغرة الأمنية موجودة داخل بوابة مصادقة معرف المستخدم. نظرًا لأن هذه البوابة تستخدم المنافذ 6081 و6082، فإن التعرض لهذه المنافذ المحددة هو المقياس الأساسي لقابلية الاستغلال. حاليًا، يحدد Shodan 67 خادم PAN-OS مكشوفًا على المنفذ 6081، ولم يتم اكتشاف أي منها على المنفذ 6082.
-
قم بتطبيق التصحيحات على الفور بمجرد توفر الإصدارات الثابتة لفرع إصدار PAN-OS الخاص بك
-
تقييد الوصول إلى بوابة مصادقة معرف المستخدم لعناوين IP الداخلية الموثوقة فقط
-
قم بتعطيل بوابة المصادقة إذا لم تكن مطلوبة
-
تجنب تعريض البوابة للإنترنت أو الشبكات غير الموثوقة
يمكن لعملاء Wiz استخدام الاستعلامات والاستشارات المعدة مسبقًا في Wiz Threat Intel Center للبحث عن المثيلات ذات الصلة في بيئتهم.
