استغلال نشط لثغرة Buffer Overflow فأنظمة PAN-OS، والمهاجمين وصلو لصلاحيات Root

خلاصة: شركة Palo Alto Networks علنات باللي فاعلي التهديد، اللي كيتعقبوهم باسم CL-STA-1132، نجحو فاستغلال الثغرة الحرجة CVE-2026-0300 (وهي ثغرة Buffer Overflow فبوابة User-ID Authentication Portal ديال أنظمة PAN-OS). هادشي خلاهم ينفذو كود عن بعد (RCE) بصلاحيات Root وبلا بيانات اعتماد. المحاولات الفاشلة الأولى بدات فـ 9 أبريل 2026، والاختراق الناجح وقع تقريبا من بعد سيمانة. الترقيعات غادي تخرج فـ 13 ماي 2026؛ وكحلول مؤقتة، خاصنا نقيدو ولا نوقفو البوابة ونفعلو قواعد اكتشاف التهديدات.

شنو وقع

نهار 9 أبريل 2026، تلاحظو محاولات استغلال فاشلة لثغرة CVE-2026-0300 فجهاز PAN-OS. تقريبا من بعد سيمانة، نفس المهاجمين قدرو يوصلو لتنفيذ كود عن بعد بنجاح، وهادشي مكنهم باش يحقنو shellcode فبروسيس ديال nginx خدام على الجهاز المخترق.

من بعد الوصول الأولي للمسار، المهاجمين بداو فتنظيف السجلات (logs)—بحال مسح رسائل crash kernel، إزالة سجلات nginx crash، ومسح ملفات crash core dump. ما بين 9 و 29 أبريل 2026، الأنشطة ديالهم من مورا الاختراق زادت وشملات استطلاع (enumeration) لتبعيض Active Directory ونشر جوج حمولات (payloads) خرين: EarthWorm و ReverseSocks5. هاد الأدوات تخدمو ضد جهاز ثاني نهار 29 أبريل 2026.

فريق Unit 42 التابع لـ Palo Alto Networks متبع هاد النشاط تحت اسم CL-STA-1132، واللي كيتوصف بأنه مجموعة يشتبه فأنها مدعومة من شي دولة. المصدر ديال CL-STA-1132 مامحددش فالمذكرة الأمنية. ولكن، الاستخدام ديال EarthWorm و ReverseSocks5—اللي سبق وتخدمو من طرف مجموعات اختراق مرتبطة بالصين—كيشير لتطابق عملي مع مجموعات التهديد المعروفة.

المذكرة كتوضح باللي CL-STA-1132 عتامدو على أدوات مفتوحة المصدر (open-source) عوض البرمجيات الخبيثة الخاصة، وهاد الاختيار نقص من فرص الاكتشاف اللي كيعتمد على البصمات (signature-based). المهاجمين حافظو على وتيرة عمليات متقطعة لأسابيع متابعة، باش يتفاداو عن قصد أنظمة التنبيه الآلية اللي كتعتمد على رصد السلوك.

علاش هادشي مهم

الثغرة CVE-2026-0300 هي Buffer Overflow كتسمح بتنفيذ كود عن بعد بلا ما تحتاج بيانات اعتماد وبصلاحيات Root. بزاف ديال بيئات العمل كتكون فاتحة فيها بوابة User-ID Authentication Portal للأنترنيت، وماكتحتاجش تسجيل الدخول باش يتم استغلالها. اختراق جهاز PAN-OS كيعطي للمهاجمين وصول عميق للشبكة وبيئة تنفيذ بصلاحيات عالية—وهادشي عندو قيمة كبيرة فعمليات التجسس اللي كتستهدف البنية التحتية ديال حافة الشبكة (edge-network).

بالنسبة لمحللي مركز العمليات الأمنية (SOC) والمدافعين، سلسلة ما بعد الاختراق الموثقة (استطلاع Active Directory متبوع بأدوات التحرك الجانبي) كتبين النية باش يتصاوب وصول مستمر ومتعدد المراحل، وماشي غير استغلال طائش. الانضباط العملياتي ديال المهاجمين—جلسات متقطعة وبحجم قليل—مصمم باش يدوّخ أنظمة الاكتشاف الآلية اللي غالبا كتخدم بيهم مؤسسات منطقة الشرق الأوسط وشمال إفريقيا (MENA).

بالنسبة لمديري الأنظمة (sysadmins) وفرق البنية التحتية، هاد الحادث كيأكد على الخطورة ديال تعريض خدمات الإدارة والمصادقة للأنترنيت فالمحيط الأمني. بوابة User-ID Authentication Portal، واخا كتعطي منافع إدارية، كتشكل نقطة اختراق وحدة (single point of compromise) للجهاز كامل.

الأنظمة المتأثرة و CVEs

• Palo Alto Networks PAN-OS: الثغرة CVE-2026-0300 (ثغرة Buffer Overflow فخدمة User-ID Authentication Portal)
  • تنقيط CVSS: 9.3/8.7
  • مسار الهجوم: الشبكة، بلا بيانات اعتماد
  • التأثير: تنفيذ كود عن بعد (RCE) بصلاحيات Root

شنو خاص يدار

• قيدو الوصول لبوابة User-ID Authentication Portal ديال PAN-OS وخليوه غير للشبكات والمناطق الموثوقة؛ طبقو تقسيم الشبكة (network segmentation) باش تمنعو الترافيك اللي جاي من الأنترنيت يوصل للبوابة.
• وقفو بوابة User-ID Authentication Portal فمرة إيلا ماكانتش مستعملة فبيئة العمل ديالكم.
• عطلّو Response Pages فـ Interface Management Profile لجميع واجهات الطبقة الثالثة (Layer 3 interfaces) اللي يقدر يجي منها ترافيك غير موثوق ولا من الأنترنيت للشبكة.
• إيلا كانت المؤسسة ديالكم مخدمة Advanced Threat Prevention، فعّلو Threat ID 510019 من إصدار محتوى التطبيقات والتهديدات 9097-10022 باش تكتشفو وتحبسو محاولات الاستغلال.
• طبقو الترقيعات (patches) فاش يتم الإصدار ديالها فـ 13 ماي 2026 أو من بعد. عطيو الأسبقية للأجهزة اللي واجهات الإدارة ديالها أولا بوابات User-ID فيها معرضة للأنترنيت.
• راجعو سجلات المصادقة وتاريخ crash dump باش تقلبو على مؤشرات ديال محاولات الاستغلال قبل الترقيع. ردو البال لمحاولات الاتصال الفاشلة ببوابة User-ID Authentication Portal والسجلات اللي فيها crashes غير طبيعية.

أسئلة باقة مطروحة

• شنو هو الأصل الدقيق ولا الجهة الحقيقية وراء CL-STA-1132 من غير تصنيف "يشتبه فأنها مدعومة من شي دولة"؟ المذكرة ماذكراتش اسم دولة أو اتهام رسمي.
• شحال ديال المؤسسات أو أجهزة PAN-OS اللي تستهدفات ولا تخترقات فهاد الحملة؟
• شنو كانت الهوية ولا الدور ديال الجهاز الثاني اللي تستهدف نهار 29 أبريل 2026؟
• شنو هو النطاق الكامل والأهداف ديال حملة التجسس من غير استطلاع Active Directory ونشر أدوات التحرك الجانبي اللي توثقو؟
• المذكرة كتقول باللي المحاولات الفاشلة بدات فـ 9 أبريل والاختراق الناجح وقع "تقريبا من بعد سيمانة"، ولكن ماحدّداثش التاريخ المضبوط ديال أول اختراق ناجح.

Source

PAN-OS RCE Exploit Under Active Use Enabling Root Access and Espionage