ثغرتان بدَتا آمنتَين فمنحتا المهاجمين تحكماً جذرياً في 13,000 جهاز

في نوفمبر 2024، نفَّذ مهاجمون مجهولو الهوية عملية واسعة النطاق استهدفت أجهزة Palo Alto Networks، واخترقوا أكثر من 13,000 واجهة إدارة مكشوفة على الإنترنت، دون أي كلمة مرور أو بيانات اعتماد. السبب لم يكن ثغرة واحدة ضخمة، بل ثغرتَين اعتُبرتا منفصلتَين وقابلتَين للتحكم، حتى جاء من يجمعهما في هجوم واحد متسلسل. الثغرتان موثَّقتان رسمياً تحت المعرِّفَين CVE-2024-0012 وCVE-2024-9474 في قاعدة بيانات NVD، وأصدرت Palo Alto Networks تنبيهاً أمنياً رسمياً بشأنهما.

كيف يُقيِّم نظام CVSS الثغرات، وأين يقصر؟

نظام CVSS هو المعيار الصناعي الأشهر لتصنيف خطورة الثغرات الأمنية. يمنح كل ثغرة درجة من صفر إلى عشرة بناءً على معايير تقنية محددة. المشكلة أن هذا النظام يُقيِّم كل ثغرة على حِدة، ولا يأخذ في الحسبان سيناريوهات التسلسل، أي ما يحدث حين يستغل مهاجم ثغرتَين معاً في تسلسل منطقي. في حالة Palo Alto، جاءت درجة CVE-2024-0012 عند 9.3 بينما صُنِّفت CVE-2024-9474 عند 6.9، فأخَّرت بعض الفِرق تطبيق التحديثات اعتماداً على التصنيف المنفرد، وكان ذلك كافياً لفتح الباب.

عملية Lunar Peek: الدرس المؤلم

اعتمد المهاجمون على الثغرتَين في منظومة PAN-OS، إذ تتيح CVE-2024-0012 الوصول غير المصادَق إلى واجهة الإدارة، فيما تُمكِّن CVE-2024-9474 من رفع الصلاحيات للوصول إلى صلاحيات الجذر root. الجمع بينهما أتاح تحكماً كاملاً في الجهاز دون أي تدخل بشري من الضحية. الأجهزة المخترقة كانت جميعها تملك واجهات إدارة مكشوفة مباشرة على الإنترنت، وهو خطأ في الإعداد كان يمكن تفاديه قبل أن تُستغَل أي ثغرة.

الخلل الحقيقي: في المنهجية لا في الأدوات

ما كشفته هذه العملية ليس ضعفاً في منتجات Palo Alto تحديداً، بل خللاً في طريقة تعامل فِرق الأمن مع الأولويات. حين تعتمد الفرقة على درجة CVSS وحدها لترتيب التحديثات، تُصبح عمياء أمام الهجمات المركَّبة. الحل يكمن في تقييم السياق الكامل: هل هذه الثغرة مكشوفة على الإنترنت؟ هل يمكن تسلسلها مع ثغرة أخرى؟ ما هو الأثر الفعلي لو اجتمعتا؟

وماذا يعني هذا لك؟

إن كنت مسؤولاً عن بنية تحتية أو شبكة مؤسسية، فالرسالة واضحة: لا تثق بالأرقام وحدها. درجة الخطر المنخفضة لا تعني أنك بأمان، خاصةً إن كانت واجهات الإدارة لديك مكشوفة على الإنترنت. المراجعة الدورية لإعدادات الشبكة، وعزل واجهات الإدارة، وتطبيق التحديثات الأمنية فور صدورها، ليست ترفاً بل ضرورة. والسؤال الذي يجب أن تطرحه اليوم: هل فريقك يُقيِّم الثغرات بشكل منفرد، أم يفكر كما يفكر المهاجم؟

المصادر: تنبيه Palo Alto Networks الأمني الرسمي بشأن CVE-2024-0012 وCVE-2024-9474 على https://security.paloaltonetworks.com/CVE-2024-0012 وhttps://security.paloaltonetworks.com/CVE-2024-9474، وتغطية Unit 42 للعملية على https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474، فضلاً عن قاعدة بيانات NVD على https://nvd.nist.gov/vuln/detail/CVE-2024-0012