GlobalProtect-Lücke CVE-2026-0257: Palo Alto Networks unter Beschuss
Veröffentlicht: 05.07.2026 um 17:34 Uhr, Redaktion boerse-global.de
Eine kritische Schwachstelle in der GlobalProtect-Software von Palo Alto Networks wird derzeit aktiv ausgenutzt. Ein einzelner Angreifer hat damit Zugang zu Unternehmensnetzwerken erlangt.
Die Sicherheitslücke mit der Kennung CVE-2026-0257 ermöglicht einen Authentifizierungs-Bypass in der PAN-OS-Software. Betroffen sind Firewalls, die ein GlobalProtect-Portal oder -Gateway mit bestimmten Zertifikatseinstellungen nutzen. Der CVSS-Score von 7,8 stuft das Risiko als hoch ein.
Zwei Angriffswellen dokumentiert
Sicherheitsforscher von Rapid7 beobachteten einen einzelnen Täter, der die Schwachstelle in zwei getrennten Wellen ausnutzte. In der zweiten Welle gelang dem Angreifer der Zugriff auf interne Netzwerke – durch die gezielte Nutzung von VPN-IP-Zuweisungen.
Der Exploit zielt auf Authentication-Override-Cookies und spezifische Zertifikatskonfigurationen ab. Dadurch erhält der Angreifer unberechtigten VPN-Zugang. Palo Alto Networks bestätigte die aktive Ausnutzung, wies aber darauf hin, dass die Angriffsversuche auf ungepatchte Systeme bislang begrenzt blieben.
Sofortmaßnahmen für Administratoren
Experten empfehlen zwei Wege zur Absicherung: Entweder die Deaktivierung der Authentication-Override-Funktion oder die Ausstellung neuer Zertifikate. Ein offizieller Patch von Palo Alto Networks steht zur Verfügung und sollte umgehend eingespielt werden.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. IT-Sicherheits-Checkliste jetzt kostenlos sichern
Weitere PAN-OS-Schwachstellen in diesem Jahr
Die Entdeckung von CVE-2026-0257 reiht sich in eine Serie von Sicherheitsvorfällen rund um PAN-OS ein. Bereits Anfang des Jahres war eine kritische Zero-Day-Lücke (CVE-2026-0300) im User-ID Authentication Portal (Captive Portal) aufgetaucht. Diese erlaubte eine nicht authentifizierte Remote-Code-Ausführung mit Root-Rechten.
Die hauseigene Forschungseinheit Unit 42 verfolgte die damaligen Angriffe bis zu einem staatlich gesteuerten Akteur mit der Kennung CL-STA-1132. Dieser nutzte ab Anfang April 2026 Werkzeuge wie Earthworm und ReverseSocks5 für Tunnelverbindungen. Nach Daten von Shadowserver waren damals weltweit über 5.400 VM-Series-Firewalls exponiert – vor allem in Asien und Nordamerika.
Die US-Behörde CISA nahm die Zero-Day-Lücke im Frühjahr in ihren Katalog bekannter ausgenutzter Schwachstellen auf und setzte eine Patch-Frist für Bundesbehörden bis Anfang Mai 2026.
Rekord-Schäden durch Phishing und Systemlücken: Warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen moderne Zugriffsmethoden schützen kann. Anti-Phishing-Paket gratis herunterladen
Angriffswelle auf Netzwerkinfrastruktur
Die Ausnutzung von PAN-OS-Geräten ist Teil eines größeren Trends: Angreifer zielen zunehmend auf Netzwerkinfrastruktur und Remote-Zugangslösungen. In den vergangenen Monaten wurden mehrere schwerwiegende Schwachstellen in den CISA-Katalog aufgenommen:
- SharePoint Server: Eine RCE-Lücke (CVE-2026-45659) – die Patch-Frist für Bundesbehörden lief bereits am 4. Juli 2026 ab.
- Check Point VPN: Ein Zero-Day-Exploit (CVE-2026-50751) im veralteten IKEv1-Protokoll, den die Qilin-Ransomware-Bande kürzlich nutzte.
- Fortinet-Geräte: Ende Januar 2026 ordnete CISA die Behebung eines kritischen Authentifizierungs-Bypasses (CVE-2026-24858) an. Damals waren über 3,2 Millionen Geräte der Serien FortiOS und FortiManager betroffen.
Sicherheitsexperten betonen, dass solche Kampagnen oft den Einsatz von individuellen Sniffern oder Tunnelwerkzeugen beinhalten – mit dem Ziel, dauerhaften Zugriff zu behalten. Für die aktuelle GlobalProtect-Lücke gilt: Sofort patchen, um weiteren unbefugten Zugriff zu verhindern.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
