פגיעות אפס-דיי קריטית בפאנטו אלטו: תקיפה פעילה בעולם האמיתי

פגיעות אפס-דיי בפאנטו אלטו: תקיפה פעילה בעולם האמיתי

תוקפים ברחבי העולם מנצלים כעת פגיעות אפס-דיי חמורה במערכות ההגנה של פאנטו אלטו (Palo Alto Networks), כך הודיעה החברה ביום שלישי בהנחיית אבטחה. הפגיעות, שזוהתה כ-CVE-2026-0300, משפיעה על שער האימות של מערכת ההפעלה PAN-OS ומאפשרת לתוקפים לא מאומתים להריץ קוד עם הרשאות שורש על מכשירי PA-Series ו-VM-Series של החברה.

פאנטו אלטו לא מסרה מתי או כיצד התגלתה הפעילות הזדונית לראשונה, ולא ציינה מתי התרחשה התקיפה הראשונה הידועה. מנגד, הסוכנות האמריקאית להגנת סייבר (CISA) הוסיפה את הפגיעות לרשימת הפגיעויות המנוצלות הידועות כבר ביום רביעי.

החברה טרם פרסמה תיקון לתקלה ואינה מספקת מידע על היקף ההתקפות או מטרותיהן. דובר מטעם פאנטו אלטו מסר ל-CyberScoop: "פגיעות זו משפיעה רק על לקוחות בודדים שהגדירו את שער האימות שלהם (Captive Portal) כנגיש מהאינטרנט או מכתובות IP לא מהימנות. זיהינו ניצול מוגבל של הפגיעות ועובדים על שחרור תיקונים, כאשר העדכונים הראשונים צפויים ב-13 במאי."

היקף הפגיעות ודירוג החומרה

פגיעת ה-buffer-overflow, שדורגה בדירוג חומרה של 9.3 (CVSS), נחשבת לחשופה באופן נרחב בסביבות ייצור אמיתיות. מומחים ציינו כי מורכבות התקיפה נמוכה יחסית. סריקות של Shadowserver גילו למעלה מ-5,800 מכשירי VM-Series עם PAN-OS חשופים לציבור נכון ליום שלישי, אך לא ידוע כמה מהם מוגבלים לגישה פנימית בלבד או שהפעילו את התכונה.

החברה מסרה כי סיפקה הנחיות הקשחה מיידיות ללקוחותיה כדי לאבטח את הסביבות שלהם. בנוסף, היא הבהירה כי הפגיעות אינה משפיעה על מוצרי Cloud NGFW או Panorama. "אנו מחויבים לגישה שקופה ומותאמת לאבטחה כדי להגן על בסיס הלקוחות העולמי שלנו", נמסר מהחברה.

תגובות מומחים והערכות עתידיות

בנג'מין האריס, מנכ"ל ומייסד watchTowr, ציין כי פאנטו אלטו התריעה ללקוחותיה על הפגיעות באופן יזום, צעד שאפשר להגן על מכשירים חשופים. "במצב קשה, זו הפעולה הטובה ביותר שניתן לנקוט מיד. עם זאת, זה גם מודיע לכולם על קיומה של הפגיעות", אמר. למרות הסיכון, האריס העריך כי התקפות הקשורות לפגיעות יהיו "מאוד מוגבלות" בהתחלה.

קאיטלין קונדון, סגנית נשיא למחקר אבטחה ב-VulnCheck, הזהירה כי הסיכון להתפשטות מהירה של התקפות גבוה: "סביר להניח שבקרוב יופעלו כללים במערכות צד שלישי ודבורים, וכי ממשקים לניהול, דפי התחברות ופורטי אימות היו מטרות נפוצות עבור תוקפים במשך שנים. ככל שיותר חוקרים יבחנו את הפגיעות, סביר להניח שנראה ניצול ציבורי והתפשטות רחבה יותר, אלא אם כן יתברר כי הפגיעות קשה במיוחד לניצול."

פאנטו אלטו טרם ייחסה את ההתקפות לקבוצת איומים ידועה, פרסמה אינדיקטורים לפגיעה או חשפה את סוג הארגונים שנפגעו. מומחים ממליצים ללקוחות החברה לחפש פעילות זדונית ולהתקין תיקונים מייד עם שחרורם.

המלצות מיידיות ללקוחות

• הגבלת גישה: ודאו כי שער האימות (Captive Portal) אינו חשוף לאינטרנט או לכתובות IP לא מהימנות.
• החלת הקשחה: בצעו את ההנחיות שסופקו על ידי פאנטו אלטו באופן מיידי.
• מעקב אחר פעילות חשודה: בדקו באופן שוטף אחר פעילות לא רגילה במכשירים שלכם.
• הכנה להתקנת תיקונים: המתינו לעדכונים הצפויים ב-13 במאי והקפידו להתקינם בהקדם.

"פגיעות זו מדגישה את החשיבות של אבטחת ממשקי ניהול ונקודות כניסה למערכות. ארגונים חייבים לפעול במהירות לאבטח את הסביבות שלהם ולהתכונן להתפשטות מהירה של התקפות."