استغلال نشط لثغرة RCE فـ PAN-OS؛ تسريب بيانات ديال مقاول فمجال الدفاع؛ واستعراض هجوم GhostLock على SMB

خلاصة: شركة Palo Alto Networks خرجات ترقيعات لثغرة CVE-2026-0300، لي هي ثغرة RCE حرجة فـ User-ID Authentication Portal ديال PAN-OS، وهاد الثغرة ديجا كيتم استغلالها فهجمات محدودة. فجهة أخرى، واحد المقاول خدام مع وزارة الدفاع خلا مواد ديال التدريب العسكري وسجلات ديال المستخدمين معرضة للتسريب بسباب شي API endpoints مامحميينش مزيان. وكاين ثلاثة ديال حملات تصيد (phishing) كيتستهدفو قطاعات الاتصالات، الصحة، وكيانات ناطقة بالروسية ببرمجيات سرقة المعلومات (infostealers) وأدوات تحكم عن بعد.

شنو وقع

Palo Alto Networks كشفات وبدات كتوزع تحديثات لـ CVE-2026-0300، لي هي ثغرة buffer overflow حرجة فخدمة User-ID Authentication Portal ديال PAN-OS. هاد الثغرة كتخلي أي مهاجم مامصادقش عليه (unauthenticated) ينفذ كود عن بعد بصلاحيات root عن طريق إرسال حزم (packets) مخدومة خصيصا لهاد الغرض. الشركة قالت باللي لاحظات استغلال هاد الثغرة فهجمات محدودة من الشهر اللي فات على الأقل، حيت شي فاعلي تهديد مامعروفينش استعملو حمولة (payload) تم التعرف عليها بأسماء EarthWorm و ReverseSocks5.

فالوقت نفسو، واحد الشركة ديال تكنولوجيا الدفاع لي خدامة بعقود مع وزارة الدفاع خلات API endpoints بلا حماية كافية، الشي اللي أدى لتسريب بيانات حساسة بحال سجلات المستخدمين ومواد التدريب العسكري. هاد المنصة المتضررة، سميتها Schemata، وهي نظام تدريب افتراضي كيخدم بالذكاء الاصطناعي وكيستعمل فبيئات عسكرية ودفاعية. باحثين أمنيين من Strix لقاو باللي أي حساب بصلاحيات قليلة يقدر يوصل لبيانات ديال متدخلين كاملين (tenants)، بما فيها لوائح المستخدمين، سجلات المؤسسة، معلومات على الدورات، metadata ديال التدريب، وروابط مباشرة لوثائق محطوطة فـ Amazon Web Services. شركة Schemata صرحات باللي مالقات تاشي دليل على استغلال من طرف جهات خارجية.

هاد السيمانة عرفات حتى حملات تصيد (phishing) نشيطة جاية من ثلاثة ديال المجموعات مختلفة. عملية GriefLure استهدفت قطاع الاتصالات فالفيتنام وقطاع الصحة فالفلبين عن طريق إيميلات spear-phishing كتوزع ملفات RAR مضغوطة فيها remote access trojan قادر على جرد العمليات (process enumeration)، أخذ صور للشاشة، جرد الملفات والمسارات، سرقة بيانات اعتماد، وتنفيذ الملفات. عملية SilentCanvas استعملات حمولة (payload) ديال PowerShell مخبأة على شكل ملف سميتو sysupdate.jpeg باش توصل نسخة ملغومة ديال ConnectWise ScreenConnect. وعملية HumanitarianBait استغلات مواضيع ديال المساعدات الإنسانية فإيميلات تصيد (phishing) فيها ملفات LNK خبيثة وسط ملفات RAR، واستهدفت كيانات ناطقة بالروسية باش تزرع infostealer مصاوب بـ Python تجاب من GitHub Releases.

واحد الأداة ديال إثبات المفهوم (proof-of-concept) سميتها GhostLock، صاوبها Kim Dvash من شركة Israel Aerospace Industries، بينات باللي يلا كان مستخدم فدومين (domain user) عندو صلاحية يقرى ملف مشترك (read access) يقدر يمنع مستخدمين آخرين من الوصول للملفات لأجل غير مسمى. هادشي كيدار عن طريق طلب دالة CreateFileW فوضعية مشاركة حصرية (exclusive share mode)، الشي اللي كيعطي تأثيرات بحال هجمة ransomware بلا ما يوقع أي تشفير وبلا ما يحتاج المهاجم صلاحيات عالية. هاد التقنية كتستغل سلوك موثق ديال SMB وكتأثر على أي مؤسسة عندها بنية تحتية ديال ملفات مشتركة بالـ SMB فين المستخدمين عندهم بيانات اعتماد عادية ديال الدومين.

شركة Meta علنات على Incognito Chat، لي هو وضع خاص للتفاعلات مع الذكاء الاصطناعي فالتطبيقات ديال Meta و WhatsApp، هاد الوضع كيعالج البيانات فبيئة تنفيذ موثوقة (Trusted Execution Environment)، وهادشي كيضمن باللي الرسائل مايمكنش توصل ليهم Meta أو WhatsApp، وكيمسح المحادثات غير كتسالي الجلسة. بالإضافة لهادشي، لجنة الاتصالات الفيدرالية الأمريكية (FCC) مددات الموعد النهائي ديال تحديثات الأمن للروتورات لي مصاوبة فالخارج من مارس 2026 حتال 1 يناير 2029 على الأقل، وهادشي كيعطي للمستوردين وملاك الأجهزة لي ديجا خدامة عامين إضافيين باش يوفرو ليا ترقيع وتحديثات.

فالأخير، مطور cURL سميتو Daniel Stenberg علن باللي نموذج الذكاء الاصطناعي Mythos ديال Anthropic لقى ربعة ديال الإيجابيات الكاذبة (false positives) وثغرة وحدة مؤكدة بخطورة منخفضة خلال فحص لـ cURL. هاد الثغرة الوحيدة المؤكدة غادي يتم النشر ديالها كـ CVE بخطورة منخفضة فالتزامن مع الإصدار 8.21.0 ديال cURL، لي مبرمج يخرج فأواخر شهر يونيو.

علاش هادشي مهم

ثغرة CVE-2026-0300 كتشكل تهديد مباشر للبيئات ديال Palo Alto Networks لي خدامة كبوابات للمصادقة (authentication gateways)، خصوصا هادوك لي معرضين لشبكات ماتيقينش فيها. تنفيذ كود عن بعد بلا مصادقة بصلاحيات root كيعني اختراق كامل للنظام بلا ما يحتاج المهاجم يسرق بيانات اعتماد أو يستعمل الهندسة الاجتماعية. الاستغلال النشط ديال الثغرة كيعني باللي المدافعين مايمكنش ليهم يعتامدو غير على الإنذار المبكر قبل ما يبداو الهجمات.

اختراق Schemata كيأثر على البنية التحتية ديال التدريب العسكري، الشي اللي كيخلي مواد التدريب وسجلات المستخدمين لي تم تسريبها أهداف محتملة لجمع المعلومات الاستخباراتية. الاستعمال ديال API endpoints لي مامحميينش مزيان بصلاحيات كافية — وهادي نقطة ضعف بنيوية معروفة — كيبين باللي مزال كاين فجوات فممارسات أمان السحابة (cloud security) داخل شركات المقاولات الدفاعية.

الحملات الثلاثة المتزامنة ديال تصيد (phishing) كتعكس تركيز مستمر على استهداف البنية التحتية الحساسة (الاتصالات، الصحة) وأهداف ديال التجسس (الكيانات الناطقة بالروسية). استعمال ملفات LNK، حمولة (payload) مخبأة كصور JPEG، وبرمجيات Python خبيثة بلا ملفات تنفيذية (fileless) كيبين باللي المهاجمين كيتكيفو باستمرار مع آليات الاكتشاف.

هجوم GhostLock كيبيّن تقنية ديال denial-of-service لي المؤسسات ماغاديش يقدرو يدافعو عليها بسهولة بلا ما يقيدو صلاحيات مشاركة الملفات (file-share permissions) بالنسبة للمستخدمين العاديين ديال الدومين — وهادا كيتعبر قيد تشغيلي كبير. هاد التقنية ماكتخلي حتى آثار جنائية تابعة لهجوم ransomware، الشي اللي كيعقد عملية الاكتشاف والاستجابة.

الإيجابيات الكاذبة (false positives) فالفحص لي دارو الذكاء الاصطناعي لـ cURL كتبين القيود الحالية ديال تحليل الأكواد بالـ AI، فين نسبة الإشارة للضجيج (signal-to-noise ratio) مزال كتشكل عقبة فعملية الفرز (triage). ومع ذلك، المطور ديال cURL عتارف باللي أدوات التحليل بالذكاء الاصطناعي كتتفوق على أدوات التحليل الثابت (static analysis) التقليدية، وهادشي كيعني باللي الإيجابيات الكاذبة مسألة ديال ضبط (tuning) وماشي مشكل أساسي.

الأنظمة المتضررة و CVEs

• Palo Alto Networks PAN-OS — ثغرة CVE-2026-0300 (ثغرة buffer overflow حرجة فـ User-ID Authentication Portal، كتسمح بتنفيذ كود عن بعد بلا مصادقة بصلاحيات root، وتم التبليغ على استغلال نشط ليها)
• منصة التدريب بالذكاء الاصطناعي Schemata — تعرض API endpoints مافيهمش تحقق من الصلاحيات (ماكاينش شي CVE تخصص ليها فاش تنشر هاد التقرير)
• ConnectWise ScreenConnect — تم الاستهداف ديالو فحملة SilentCanvas لتوصيل حمولة (payload) غير شرعية (ماكاينش شي CVE محدد تم الكشف عليه فهاد الحملة)
• cURL — ثغرة وحدة بخطورة منخفضة لقاها Anthropic Mythos (مزال ما تخصصش ليها CVE؛ مبرمج النشر ديالها مع curl 8.21.0 فأواخر شهر يونيو)

شنو خاص يدار

• طبقو ترقيعات Palo Alto Networks لـ CVE-2026-0300 فخدمات User-ID Authentication Portal فالبلاصة. سبقو البنيات لي مقابلة الإنترنت (internet-facing).
• راجعو سياسات الصلاحيات ديال API فأنظمة Schemata أو منصات تدريب الذكاء الاصطناعي المشابهة، باش تأكدو باللي المصادقة (authentication) والتحقق من الصلاحيات تم التطبيق ديالهم فكاع الـ endpoints لي كترجع بيانات حساسة.
• قادّو أو قَوّيو ضوابط أمن الإيميل، بحال الفحص المتقدم للمرفقات، إعادة كتابة الروابط، وتدريب المستخدمين يردو البال لملفات الأرشيف ومرفقات JPEG المشبوهة.
• عطلو أو قيدو سياسات تنفيذ امتدادات الملفات بالنسبة لـ JPEG، PDF، وأنواع ملفات أخرى مافيهاش تنفيذ (non-executable) باش تمنعو حمولات (payloads) ديال PowerShell لي كتكون مخبأة كصور.
• باش تحدو من خطر GhostLock: قيدو أو راقبو صلاحيات SMB file-share ديال المستخدمين العاديين فالدومين؛ فعّلو أنظمة مراقبة للوصول للملفات باش تكتشفو القفولة الحصرية (exclusive locks) لي كطول بلا سبب؛ فكرو فتقسيم الشبكة (network segmentation) باش تحدو من الوصول للملفات المشتركة.
• راقبو خروج تحديث cURL 8.21.0 فأواخر شهر يونيو، وطبقو أي ترقيع ملي يكون متوفر، واخا تفاصيل الثغرة مزال تحت الحظر.
• ديرو تحديث للروتورات لي مصاوبة فالخارج بأي ترقيعات أمن متوفرة قبل الموعد النهائي ديال FCC لي هو 1 يناير 2029 باش تفاداو المنع من الاستيراد أو البيع.