Palo-Alto-Lücke CVE-2026-0257: VPN wird aktiv von Angreifern genutzt

Die US-Sicherheitsbehörde CISA hat eine schwerwiegende Sicherheitslücke in Palo-Alto-Netzwerken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Die als CVE-2026-0257 registrierte Lücke betrifft die GlobalProtect-VPN-Funktion von PAN-OS und die Prisma-Access-Cloud-Plattform.

Bereits am 13. Mai hatte Palo Alto Networks eine Sicherheitswarnung herausgegeben, nachdem interne Forscher das Problem entdeckt hatten. Doch die Sicherheitsfirma Rapid7 stellte wenig später fest: Die Lücke wird bereits aktiv ausgenutzt.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste zur Cyber-Security jetzt gratis herunterladen

Zwei Angriffswellen identifiziert

Forensische Analysen zeigen ein besorgniserregendes Bild. Die erste Angriffswelle startete am 17. Mai von IP-Adressen des Cloud-Anbieters Vultr. Nur vier Tage später folgte eine zweite Welle über die Infrastruktur von Dromatics Systems.

Die meisten Versuche blieben zwar bei Sondierungen. Doch in mindestens zwei Fällen gelang den Angreifern der unbefugte VPN-Zugriff. Technische Gemeinsamkeiten – darunter eine bestimmte MAC-Adresse und Hostnamen wie „GP-CLIENT" und „DESKTOP-GP01" – deuten auf einen einzelnen Täter oder eine Gruppe hin.

Wie die Lücke funktioniert

Der Fehler mit einem CVSS-Score von 7,8 (hoch) liegt in der mangelhaften Validierung von Authentifizierungs-Cookies. Konkret: Die Software vertraut Cookies, ohne sie ausreichend zu prüfen. Angreifer können gefälschte Authentifizierungs-Cookies einschleusen und so die Sicherheitsmechanismen umgehen.

Voraussetzung ist, dass die Funktion „Authentication Override" aktiviert ist und ein gemeinsames Zertifikat verwendet wird. Gelingt der Angriff, erhalten die Täter unautorisierten VPN-Zugang – aus Sicht von Sicherheitsexperten das perfekte Einfallstor für laterale Bewegungen im Netzwerk oder massiven Datendiebstahl.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Das Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Zum kostenlosen Cyber Security E-Book

Patches verfügbar – auch für deutsche Unternehmen relevant

Palo Alto Networks ha Sicherheitsupdates für mehrere Software-Zweige veröffentlicht:

• PAN-OS 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 und 10.2.18-h6
• Prisma Access 11.2.7-h13 und 10.2.10-h36

Wichtig für Unternehmen mit älteren Systemen: Versionen wie PAN-OS 9.0, 9.1 und 10.0 haben das Ende ihres Lebenszyklus erreicht und erhalten keine Patches mehr.

Schnellhandeln gefordert

Für Organisationen, die nicht sofort patchen können, empfiehlt Palo Alto Networks als Übergangslösung: Die Authentifizierungs-Override-Funktion deaktivieren oder ein neues, dediziertes Zertifikat ausstellen.

Die Aufnahme in den CISA-Katalog bedeutet für US-Bundesbehörden eine Frist: Sie müssen die Lücke bis Anfang Juni schließen. Für deutsche Unternehmen und Behörden gilt: Wer Palo-Alto-Firewalls im Einsatz hat, sollte die Updates umgehend einspielen. Es ist bereits der zweite Vorfall innerhalb weniger Wochen, bei dem eine PAN-OS-Lücke auf der Liste landete – nach einer Management-Schnittstellen-Schwachstelle Anfang Mai.

de | wissenschaft | 69453951 |