Die US-Sicherheitsbehörde CISA hat eine schwerwiegende Schwachstelle in Palo Alto Networks‘ GlobalProtect VPN in ihre Liste ausgenutzter Sicherheitslücken aufgenommen. Seit dem 17. Mai nutzen Angreifer den Fehler aktiv aus, um in Unternehmensnetzwerke einzudringen. Bundesbehörden in den USA müssen bis zum 1. Juni patchen – doch auch deutsche Unternehmen sind betroffen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis Cyber Security Report für Unternehmen sichern
Angreifer umgehen Authentifizierung
Die Sicherheitslücke mit der Kennung CVE-2026-0257 steckt in der PAN-OS-Software, die GlobalProtect-Portale und -Gateways antreibt. Die Bewertung des Risikos fällt je nach Analysefirma unterschiedlich aus: zwischen CVSS 7,8 und 9,1 – allesamt kritische Werte.
Forscher von Rapid7 haben die Angriffsmethode entschlüsselt: Die Angreifer schmieden spezielle Cookies, um die Authentifizierung zu umgehen. Ursache ist eine fehlende Signaturprüfung in den Systemkomponenten. Damit der Angriff gelingt, muss auf dem Zielgerät die Authentifizierungs-Übersteuerung aktiviert sein und ein gemeinsames Zertifikat verwendet werden.
Die erste Angriffswelle registrierten Sicherheitsexperten am 17. Mai. Die Hacker nutzten damals Infrastruktur von Vultr. Nur vier Tage später folgte eine zweite Welle, diesmal über IP-Adressen von Dromatics Systems. Auffällig: Die Angreifer verwendeten durchgängig identische Kennungen – darunter die Rechnernamen GP-CLIENT und DESKTOP-GP01. Einige Opfer erhielten sogar vollständige VPN-IP-Zuweisungen, was den Eindringlingen umfassenden Netzwerkzugriff verschaffte.
Angriffswelle auf Perimeter-Sicherheit
Der Vorfall bei Palo Alto Networks ist kein Einzelfall. Sicherheitsforscher beobachten derzeit eine regelrechte Angriffswelle auf Perimeter-Lösungen – also jene Systeme, die eigentlich den Zugang von außen schützen sollen.
Parallel dazu häufen sich Attacken auf Fortinet-Systeme. Dort steckt die Schwachstelle CVE-2026-35616 im FortiClient Endpoint Management Server (EMS). Sie ermöglicht Code-Ausführung aus der Ferne ohne Authentifizierung. Anders als bei Palo Alto Networks sind diese Angriffe bereits seit Anfang April 2026 aktiv. Die Täter setzen dabei auf Infostealer-Malware, die vertrauliche Daten abgreift.
In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen. Dieser kostenlose Leitfaden für Firmen aus Verwaltung, Handel, Produktion und Finanzsektor bietet zudem Einblicke in aktuelle psychologische Manipulationstaktiken. Kostenloses Anti-Phishing-Paket herunterladen
Besonders brisant: Eine weitere kritische Lücke in BeyondTrust Remote Support (CVE-2026-1731) mit einem CVSS-Wert von 9,9 wird derzeit aktiv ausgenutzt. Betroffen sind Finanzdienstleister, Anwaltskanzleien und Krankenhäuser. Die Angreifer installieren SparkRAT und VShell – Werkzeuge, die ihnen die vollständige Kontrolle über die kompromittierten Systeme geben.
Patchen oder migrieren – es gibt keine Alternative
Palo Alto Networks reagierte bereits am 13. Mai, also noch vor der ersten dokumentierten Ausnutzung, mit ersten Sicherheitsupdates. Patches stehen für die PAN-OS-Versionen 10.2, 11.1, 11.2 und 12.1 sowie für Prisma Access zur Verfügung.
Doch es gibt ein großes Problem: Unternehmen, die noch End-of-Life-Versionen einsetzen, bleiben außen vor. Konkret betrifft das die Versionen 9.0, 9.1 und 10.0. Für sie gibt es keine Sicherheitsupdates mehr. Sicherheitsexperten raten diesen Unternehmen dringend, auf unterstützte Versionen zu migrieren.
Neben dem Patchen empfehlen die Forscher, gezielt nach Kompromittierungs-Indikatoren zu suchen. Besonders im Fokus stehen die IP-Adressen 104.207.144.154 und 146.19.216.119, die mit den jüngsten Angriffen in Verbindung gebracht werden. Wer diese Adressen in den Logs findet, sollte von einer Kompromittierung ausgehen.
