Palo Alto Networks: Kritische Firewall-Lücke CVE-2026-0300 seit April

Der Sicherheitsanbieter Palo Alto Networks veröffentlicht heute die zweite Welle von Updates für eine schwerwiegende Schwachstelle in seinem Betriebssystem PAN-OS. Der Fehler mit der Kennung CVE-2026-0300 betrifft das User-ID Authentication Portal, auch als Captive Portal bekannt, und ermöglicht Angreifern die vollständige Kontrolle über betroffene Firewalls.

Technische Details und betroffene Systeme

Bei der Schwachstelle handelt es sich um einen Heap-basierten Pufferüberlauf (CWE-787), der in den PAN-OS-Versionen 10.2, 11.1, 11.2 und 12.1 steckt. Betroffen sind sowohl Hardware-Firewalls der PA-Serie als auch virtuelle VM-Systeme. Die Cloud-Plattformen NGFW, Prisma Access und Panorama sind laut Hersteller nicht verwundbar.

Angesichts immer komplexerer Bedrohungen wie der aktuellen PAN-OS-Schwachstelle ist ein proaktiver Schutz für die Unternehmens-IT unerlässlich. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken effektiv schließen und Ihr Unternehmen langfristig absichern. Experten-Checkliste für IT-Sicherheit jetzt kostenlos herunterladen

Die heute ausgelieferten Patches umfassen unter anderem die Builds PAN-OS 12.1.7, 11.2.4-h17, 11.2.12, 11.1.7-h6, 11.1.15, 10.2.7-h34, 10.2.13-h21 und 10.2.16-h7. Bis zur Installation der Updates empfehlen Sicherheitsexperten, das Captive Portal zu deaktivieren oder den Zugriff auf vertrauenswürdige Zonen zu beschränken.

Staatlich gesteuerte Angriffe laufen seit April

Sicherheitsanalysten beobachten aktive Ausnutzung der Lücke durch eine als CL-STA-1132 bezeichnete Gruppe, die mutmaßlich staatlich gesteuert wird. Die ersten Angriffe wurden am 9. April registriert. Bereits eine Woche später, um den 16. April, gelang den Angreifern die Fernausführung von Schadcode.

Die Vorgehensweise ist ausgeklügelt: Die Täter injizieren Schadcode in den nginx-Dienst und nutzen EarthWorm- und ReverseSocks5-Tunnel, um dauerhaften Zugriff zu behalten. Die Sicherheitsforscher von Unit 42 dokumentierten zudem die Auslesung von Active-Directory-Daten über Firewall-Dienstkonten sowie die systematische Löschung von Systemprotokollen zur Spurenbeseitigung. In einigen Fällen lösten die Angreifer durch SAML-Überflutungen sogenannte High-Availability-Failover aus, um auch Standby-Firewalls zu kompromittieren.

Die US-Behörde CISA hatte die Schwachstelle Anfang Mai in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Die Frist für Bundesbehörden zur Behebung endete bereits am 9. Mai – vor Verfügbarkeit der aktuellen Patch-Welle.

Marktreaktion und KI-gestützte Forschung

Die Sicherheitsvorfälle haben Spuren an der Börse hinterlassen. Die Aktie von Palo Alto Networks eröffnete am Dienstag mit einem Minus von 3,92 Prozent. Analysten führen dies auf „Vor-Quartalszahlen-Nervosität“ vor den Ergebnissen für das dritte Quartal des Geschäftsjahres 2026 zurück, die für den 2. Juni erwartet werden. Hinzu kommen Integrationsrisiken durch die Übernahmen von CyberArk und Chronosphere sowie eine Verlangsamung im Next-Generation-Security-Segment.

Positiv vermerken Analysten dagegen die „Platformization“-Strategie des Unternehmens: Die Zahl der Kunden, die auf die integrierte Plattform setzen, stieg im Jahresvergleich um 35 Prozent. Zudem profitiert Palo Alto Networks von Kooperationen im KI-Bereich. Das Tool „Mythos“ des Partners Anthropic – vorgestellt am 7. April – identifizierte Dutzende Schwachstellen in älteren PAN-OS-Codebasen.

Während KI zunehmend zur Fehlersuche eingesetzt wird, reagieren auch Regulierungsbehörden auf die beschleunigten Bedrohungszyklen. Die indische CERT-In führte am Montag neue Richtlinien ein: Kritische Schwachstellen in internetfähigen Systemen müssen demnach wo möglich binnen zwölf Stunden geschlossen werden – ein Beleg für das Tempo, mit dem Exploits heute entwickelt und eingesetzt werden.

de | wissenschaft | 69429811 |