PAN-OS-Lücke CVE-2026-0257: CISA warnt vor aktiven Angriffen

Die US-Behörde CISA hat den Fehler als akute Bedrohung eingestuft.

Die Sicherheitslücke mit der Kennung CVE-2026-0257 ermöglicht Angreifern, die Authentifizierung an GlobalProtect-Gateways zu umgehen. Betroffen sind Systeme, bei denen die Funktion „Authentication Override" aktiviert ist und ein gemeinsames Zertifikat verwendet wird. Der Fehler liegt in der fehlerhaften Validierung von Cookies – die Software vertraut manipulierten Authentifizierungs-Cookies, ohne sie ausreichend zu prüfen. Der CVSS-Score von 7,8 unterstreicht die Schwere des Problems.

Die aktuelle Warnung der CISA verdeutlicht, wie schnell Unternehmen ins Visier von Cyberkriminellen geraten können. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken proaktiv schließen und Ihre IT-Infrastruktur langfristig absichern. Experten-Checkliste zur Cyber-Security jetzt gratis herunterladen

CISA fordert sofortiges Handeln

Das Cybersecurity and Infrastructure Security Agency (CISA) hat den Exploit am 29. Mai 2026 in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Für US-Bundesbehörden gilt eine Frist zur Behebung – je nach Quelle bis zum 1. Juni oder spätestens 19. Juni 2026. Deutsche Unternehmen und Behörden sollten ebenfalls umgehend handeln.

Zwei Angriffswellen beobachtet

Sicherheitsforscher von Rapid7 entdeckten die ersten Angriffe bereits am 17. Mai 2026. Die Angreifer nutzten damals Infrastruktur des Cloud-Anbieters Vultr. Eine zweite Welle folgte am 21. Mai, diesmal über IP-Adressen von Dromatics Systems (unter anderem 146.19.216.119, 146.19.216.120 und 146.19.216.125).

Während Software-Patches akute Lücken schließen, erfordert ein umfassender Schutz vor modernen Angriffswellen eine ganzheitliche Sicherheitsstrategie. Sichern Sie sich den kostenlosen Ratgeber, um neue gesetzliche Anforderungen zu erfüllen und Ihr Unternehmen ohne hohe Zusatzkosten zu schützen. Gratis E-Book: Cyber-Security-Bedrohungen abwenden

Die Angriffe stammen offenbar vom selben Täter: Die Nutzung einer identischen MAC-Adresse (aa:bb:cc:dd:ee:ff) und der Maschinennamen GP-CLIENT und DESKTOP-GP01 deuten darauf hin. Bei der zweiten Welle gelang es den Angreifern nachweislich, VPN-IP-Adressen zugewiesen zu bekommen – die Authentifizierung war erfolgreich umgangen.

Betroffene Versionen und Notfall-Patches

Die Schwachstelle betrifft mehrere PAN-OS-Versionen, darunter die Release-Zyklen 12.1, 11.2, 11.1 und 10.2. Palo Alto Networks hat Notfall-Patches veröffentlicht:

• PAN-OS: Versionen 12.1.4-h6, 11.2.12, 11.1.15 und 10.2.18-h6
• Prisma Access: Versionen 11.2.7-h13 und 10.2.10-h36

Die Verwaltungsplattform Panorama und Cloud NGFW sind nicht betroffen. Allerdings erhalten ältere, nicht mehr unterstützte PAN-OS-Versionen (9.0, 9.1, 10.0) keine Sicherheitsupdates mehr – sie bleiben verwundbar.

Sofortmaßnahmen für betroffene Unternehmen

Wer die Patches nicht umgehend einspielen kann, sollte die Authentication-Override-Funktion deaktivieren oder auf ein dediziertes Authentifizierungszertifikat umstellen. Nur so lässt sich verhindern, dass Angreifer gefälschte Cookies einsetzen und die Firewall-Umgehung fortsetzen. Angesichts der aktiven Angriffswellen ist höchste Eile geboten.

de | wissenschaft | 69451850 |