→ العودة إلى المدونة
إحاطة أمنية5 دقائق قراءة2026-05-07

الإحاطة الأمنية، 7 مايو 2026: ثغرة PAN-OS صفرية، هروب vm2 من الساندبوكس، تمويه MuddyWater، وتصيد AiTM من مايكروسوفت

النمط هذا الصباح واضح: المهاجمون يربحون عبر إساءة استخدام الطبقة الموثوقة المحيطة بالنظام — بوابة الجدار الناري، وغلاف الساندبوكس، وسير العمل التعاوني، وصفحة الدخول التي يظن المستخدم أنه يعرفها.


المهم الآن: قيّد تعرّض Captive Portal في PAN-OS فورًا، ورقّع vm2 أينما كان هناك تشغيل لكود غير موثوق، وأعد قراءة حوادث Teams والوصول البعيد والابتزاز باعتبارها احتمال تجسس، واعتبر التصيد ذي طابع الامتثال في السحابة سرقةً للرموز المميزة لا مجرد كلمات مرور.


1. بوابة Captive Portal في PAN-OS هي أخطر مشكلة على حافة الإنترنت اليوم

تقول Palo Alto إن CVE-2026-0300 عبارة عن تجاوز سعة خطير في User-ID Authentication Portal يتيح تنفيذ كود بامتيازات root دون مصادقة على جدران PA-Series وVM-Series المكشوفة. الاستغلال المحدود بدأ بالفعل؛ وإذا كانت البوابة قابلة للوصول من عناوين غير موثوقة، فالمخاطرة حية الآن.


2. vm2 يثبت مجددًا أن JavaScript “داخل ساندبوكس” ليس حدًا أمنيًا كافيًا بمفرده

الثغرة CVE-2026-26956 في vm2 تسمح بالهروب من الساندبوكس وتنفيذ كود على المضيف، مع PoC علني متاح بالفعل. التأثير المؤكد يطال بيئات Node.js 25 محددة، لكن الدرس أوسع: إذا كان منتجك يشغّل JavaScript يقدمه المستخدم، فالغلاف نفسه جزء من مساحة الانفجار.


3. MuddyWater تستخدم مسرحية الفدية لإخفاء التجسس

تشير التقارير المرتبطة بـ Rapid7 إلى أن MuddyWater استخدمت Microsoft Teams ومشاركة الشاشة وسرقة الاعتمادات وAnyDesk وDWAgent ورسائل الابتزاز من دون نشر تشفير فعلي للملفات. كانت Chaos مجرد قناع؛ أما العملية الحقيقية فكانت وصولًا واستمرارية وسرقة بيانات.


4. موجة التصيد الخاصة بـ Microsoft حول conduct review مبنية لسرقة الرموز المميزة لحظيًا

رصدت Microsoft أكثر من 35 ألف محاولة طالت نحو 13 ألف مؤسسة مستخدمةً إشعارات داخلية مزيفة وملفات PDF طُعمًا وصفحات CAPTCHA من Cloudflare وصفحات adversary-in-the-middle تمرر تسجيل الدخول إلى Microsoft. أهمية ذلك أن تصيد AiTM يتجاوز MFA الضعيف عبر سرقة رموز الجلسة لا كلمات المرور فقط.


ما الذي يجب على فرق الأمن فعله قبل الظهر

  1. إغلاق أو تقييد أسطح PAN-OS Captive Portal المكشوفة أولًا.
  2. ترقيع vm2 ومراجعة كل مسار يسمح للعملاء أو الموظفين بتشغيل JavaScript على مضيفين مشتركين.
  3. إدخال الهندسة الاجتماعية عبر Teams في نفس playbook المستخدم للبريد الاحتيالي وvishing.
  4. تحديث الاستجابة للتصيد بحيث تعطي أولوية لإبطال الرموز ومراجعة الجلسات، لا فقط إعادة تعيين كلمة المرور.

المصادر


الخلاصة: نمط اليوم هو انقلاب الثقة. البوابات المكشوفة، وبيئات الساندبوكس، وأدوات التعاون، وصفحات تسجيل الدخول المألوفة تتحول إلى سطح هجوم عندما تُعامل الطبقة الخارجية على أنها وسيلة الحماية نفسها.

دقّق حدود الثقة التي يستغلها المهاجمون فعلاً

تساعد KENSAI الفرق على اكتشاف البوابات المكشوفة، والساندبوكسات الهشة، ومسارات الوصول البعيد الخطرة، وتدفقات الهوية التي تنهار تحت ضغط التصيد الحقيقي.

ابدأ فحصًا مجانيًا →

ابقَ حادًا.

🗡️ KENSAI Security Team