ثغرة Palo Alto CVE-2026-0300: استغلال نشط يهدد جدران حماية بنوك SAMA

أعلنت Palo Alto Networks عن ثغرة حرجة مصنّفة zero-day في نظام PAN-OS برقم CVE-2026-0300 وبدرجة خطورة CVSS 9.3، تستهدف بوابة User-ID Authentication Portal وتتيح للمهاجم غير المصادق تنفيذ كود بصلاحيات root على جدران الحماية من سلسلة PA-Series وVM-Series. أكدت الشركة استغلال الثغرة في هجمات حقيقية، وأضافتها CISA إلى قائمة KEV في 6 مايو 2026. هذا التحذير يعني فعلياً أن نواة دفاعات كثير من بنوك SAMA معرضة للاختراق المباشر.

ما هي ثغرة CVE-2026-0300 في PAN-OS؟

الثغرة هي خلل من نوع buffer overflow وتحديداً out-of-bounds write (CWE-787) داخل مسار معالجة الطلبات في خدمة User-ID Authentication Portal، المعروفة سابقاً باسم Captive Portal. تُستخدم هذه الخدمة لربط عناوين IP بهويات المستخدمين كجزء من سياسات التحكم في الوصول. عندما يُرسل المهاجم حزمة شبكية مصممة بدقة إلى البوابة، يتمكن من إفساد الذاكرة وإعادة توجيه تدفق التنفيذ، فيحصل على صلاحيات root كاملة على الجدار الناري دون الحاجة إلى أي اعتماد مسبق. تصل درجة CVSS إلى 9.3 إذا كانت البوابة مكشوفة على الإنترنت أو على شبكات غير موثوقة، وتنخفض إلى 8.7 عند تقييد الوصول إلى نطاقات IP داخلية موثوقة فقط.

الاستغلال النشط ووضع الترقيع

أكدت Palo Alto Networks أن الاستغلال محدود ولكنه نشط ضد البوابات المكشوفة على الإنترنت أو على نطاقات غير موثوقة. النقطة الأخطر أن الترقيعات الرسمية لم تُطلق بعد عند نشر الإرشاد؛ من المتوقع توفر النسخ المُصححة بدءاً من 13 مايو 2026 واستكمال الإصدارات حتى 28 مايو 2026. هذا يعني وجود نافذة استغلال مفتوحة لأكثر من أسبوعين، ولا تنطبق الثغرة على Prisma Access أو Cloud NGFW أو Panorama، بل تقتصر على الأجهزة المادية والافتراضية للجدران النارية المُهيأة باستخدام User-ID Authentication Portal.

الأثر على المؤسسات المالية السعودية

جدران Palo Alto Networks منتشرة بكثافة في المنظومة المالية السعودية كنقطة دفاع محيطية رئيسية، وتعتمد عدة بنوك خاضعة لرقابة SAMA على ميزة User-ID لتطبيق سياسات الوصول المبنية على الهوية ضمن متطلبات SAMA CSCC في المجال الفرعي 3.3.5 (Identity and Access Management) و3.3.14 (Cyber Security Event Management). اختراق الجدار الناري يعني فعلياً سقوط أحد عناصر "الدفاع في العمق" الذي تشترطه ضوابط NCA ECC في المجال 2-5 (Network Security Management). كذلك فإن الوصول بصلاحيات root يتيح للمهاجم تجاوز ضوابط 3.3.7 (Cryptography) عبر التلاعب في قواعد فك التشفير على الجدار، مما قد يؤدي إلى تسريب بيانات حاملي البطاقات وانتهاك متطلبات PCI-DSS 1.2 و1.3، بالإضافة إلى التزامات الإفصاح المنصوص عليها في نظام حماية البيانات الشخصية PDPL.

التوصيات والخطوات العملية لفرق الأمن في بنوك SAMA

1. قم فوراً بحصر جميع جدران الحماية من PA-Series وVM-Series في بيئتك، وحدّد التي تُشغّل ميزة User-ID Authentication Portal، مع التحقق من قابلية الوصول إليها من شبكات غير موثوقة باستخدام scan داخلي وفحص خارجي عبر مزود مستقل.
2. طبّق إجراء التخفيف الرسمي من Palo Alto: قيّد الوصول إلى البوابة على Trusted Zones فقط، وعطّل Response Pages في Interface Management Profile المرتبط بكل واجهة L3 موجودة في منطقة يمكن أن يدخل عبرها traffic غير موثوق.
3. فعّل قواعد كشف على Threat Prevention وتحقّق من توقيعات App-ID لأي محاولات استغلال، مع توجيه السجلات إلى منصة SIEM في SOC وربطها بقواعد ارتباط (correlation rules) خاصة بـ User-ID portal anomalies.
4. أجرِ Threat Hunting استرجاعي على آخر 30 يوماً بحثاً عن مؤشرات اختراق: اتصالات صادرة غير مألوفة من واجهات إدارة الجدران، تغييرات مفاجئة في ملفات التكوين، أو إنشاء حسابات مدير محلية جديدة على PAN-OS.
5. سجّل الحادث المحتمل في سجل المخاطر السيبرانية وفق متطلبات SAMA CSCC 3.2.1، وأعِدّ خطة الاستجابة لتنفيذ الترقيع فور توفره ابتداءً من 13 مايو 2026، مع جدولة نافذة صيانة طارئة وإجراء rollback plan موثّق.
6. راجع تجزئة الشبكة وعزل واجهات الإدارة (management plane) عن user data plane، وتأكد من تطبيق Multi-Factor Authentication على جميع حسابات المسؤول، مع مراجعة السماحيات وفق مبدأ الحد الأدنى من الامتيازات.

الخلاصة

ثغرة CVE-2026-0300 ليست تحذيراً نظرياً، بل هجوماً قائماً على بنية الدفاع المحيطي لكثير من بنوك SAMA. غياب الترقيع الفوري يضع المسؤولية على فرق GRC وSOC في تطبيق إجراءات التخفيف فوراً وتوثيقها كجزء من سجل المخاطر، وفي إعداد آلية استجابة سريعة فور توفر التحديث. التراخي حتى 13 مايو هو تراخٍ في موقع كان يجب أن يكون أكثر مواقع المنشأة تحصيناً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، مع مراجعة فنية مستهدفة لإعدادات Palo Alto PAN-OS وحوكمة الترقيع في بيئتك.