النمط هذا الصباح واضح: المهاجمون يربحون عبر إساءة استخدام الطبقة الموثوقة المحيطة بالنظام — بوابة الجدار الناري، وغلاف الساندبوكس، وسير العمل التعاوني، وصفحة الدخول التي يظن المستخدم أنه يعرفها.
المهم الآن: قيّد تعرّض Captive Portal في PAN-OS فورًا، ورقّع vm2 أينما كان هناك تشغيل لكود غير موثوق، وأعد قراءة حوادث Teams والوصول البعيد والابتزاز باعتبارها احتمال تجسس، واعتبر التصيد ذي طابع الامتثال في السحابة سرقةً للرموز المميزة لا مجرد كلمات مرور.
تقول Palo Alto إن CVE-2026-0300 عبارة عن تجاوز سعة خطير في User-ID Authentication Portal يتيح تنفيذ كود بامتيازات root دون مصادقة على جدران PA-Series وVM-Series المكشوفة. الاستغلال المحدود بدأ بالفعل؛ وإذا كانت البوابة قابلة للوصول من عناوين غير موثوقة، فالمخاطرة حية الآن.
الثغرة CVE-2026-26956 في vm2 تسمح بالهروب من الساندبوكس وتنفيذ كود على المضيف، مع PoC علني متاح بالفعل. التأثير المؤكد يطال بيئات Node.js 25 محددة، لكن الدرس أوسع: إذا كان منتجك يشغّل JavaScript يقدمه المستخدم، فالغلاف نفسه جزء من مساحة الانفجار.
تشير التقارير المرتبطة بـ Rapid7 إلى أن MuddyWater استخدمت Microsoft Teams ومشاركة الشاشة وسرقة الاعتمادات وAnyDesk وDWAgent ورسائل الابتزاز من دون نشر تشفير فعلي للملفات. كانت Chaos مجرد قناع؛ أما العملية الحقيقية فكانت وصولًا واستمرارية وسرقة بيانات.
رصدت Microsoft أكثر من 35 ألف محاولة طالت نحو 13 ألف مؤسسة مستخدمةً إشعارات داخلية مزيفة وملفات PDF طُعمًا وصفحات CAPTCHA من Cloudflare وصفحات adversary-in-the-middle تمرر تسجيل الدخول إلى Microsoft. أهمية ذلك أن تصيد AiTM يتجاوز MFA الضعيف عبر سرقة رموز الجلسة لا كلمات المرور فقط.
الخلاصة: نمط اليوم هو انقلاب الثقة. البوابات المكشوفة، وبيئات الساندبوكس، وأدوات التعاون، وصفحات تسجيل الدخول المألوفة تتحول إلى سطح هجوم عندما تُعامل الطبقة الخارجية على أنها وسيلة الحماية نفسها.
تساعد KENSAI الفرق على اكتشاف البوابات المكشوفة، والساندبوكسات الهشة، ومسارات الوصول البعيد الخطرة، وتدفقات الهوية التي تنهار تحت ضغط التصيد الحقيقي.
ابدأ فحصًا مجانيًا →ابقَ حادًا.
🗡️ KENSAI Security Team