**
Der US-Cybersicherheitsspezialist Palo Alto Networks hat heute eine dringende Sicherheitswarnung herausgegeben. Eine als kritisch eingestufte Zero-Day-Schwachstelle in der Firewall-Software PAN-OS wird bereits aktiv ausgenutzt. Die als CVE-2026-0300 geführte Lücke betrifft die PA-Series und VM-Series – und könnte Angreifern die vollständige Kontrolle über die betroffenen Systeme geben.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, liegt oft an unterschätzten Sicherheitslücken in der Infrastruktur. Dieses kostenlose E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich auch ohne großes Budget effektiv schützen können. Gratis-E-Book zur Cyber Security jetzt herunterladen
Angreifer erlangen Root-Zugriff ohne Authentifizierung
Die Schwachstelle erreicht einen CVSS-4.0-Score von 9,3 – die höchste Bedrohungsstufe. Der Grund: Die Lücke erlaubt eine nicht authentifizierte Remote-Codeausführung mit Root-Rechten. Angreifer müssen weder spezielle Zugangsdaten besitzen noch eine Benutzerinteraktion abwarten. Ein einziger manipulierte Netzwerkpaket genügt, um die Firewall zu übernehmen.
Das Sicherheitsproblem liegt in einem Pufferüberlauf im User-ID™ Authentication Portal, auch als Captive Portal bekannt. Dieser Dienst identifiziert und authentifiziert Nutzer, wenn die Firewall keine automatische IP-Zuordnung vornehmen kann. Die Schwachstelle ist als CWE-787 (Out-of-Bounds Write) klassifiziert – ein Schreibzugriff außerhalb des reservierten Speicherbereichs.
Besonders brisant: Der Angriffsvektor ist netzwerkbasiert und weist eine Angriffskomplexität von null auf. Das macht die Lücke hochattraktiv für automatisierte Exploit-Kampagnen. Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sind laut Analyse vollständig – Angreifer erhalten die totale Kontrolle über das kompromittierte Gerät.
Betroffene Versionen und globale Gefährdungslage
Die Lücke betrifft mehrere Hauptversionen von PAN-OS: die Release-Zyklen 11.1, 11.2 und 12.1. Konkret sind alle Versionen vor 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 und 11.1.15 verwundbar. Im 11.2-Zweig sind Versionen unter 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 und 11.2.12 betroffen. Der aktuelle 12.1-Zweig ist in Versionen vor 12.1.4-h5 und 12.1.7 angreifbar.
Die Shadowserver Foundation hat bereits die globale Gefährdungslage analysiert. Demnach sind mehr als 5.800 VM-Series-Firewalls direkt mit dem Internet verbunden. Die geografische Verteilung zeigt einen Schwerpunkt in Asien mit 2.466 Geräten, gefolgt von Nordamerika mit knapp 2.000 Instanzen. Zwar ist nicht bei jedem exponierten Gerät das Authentication Portal aktiviert – die schiere Anzahl internetzugänglicher Management-Schnittstellen bietet Angreifern jedoch eine breite Angriffsfläche.
Sicherheitsexperten gehen davon aus, dass die bisher beobachteten „begrenzten Angriffe“ auf hochgezielte Aktivitäten hindeuten. Dahinter könnten staatlich gesteuerte Gruppen oder Advanced Persistent Threats (APTs) stecken. Diese Akteure zielen gezielt auf Perimeter-Sicherheitsgeräte, da sie sich als idealer Einstiegspunkt für laterale Bewegungen in Unternehmensnetzwerke eignen. Ist eine Firewall erst einmal auf Root-Ebene kompromittiert, können Angreifer Datenverkehr abfangen, Zugangsdaten stehlen und weitere Schutzmechanismen deaktivieren.
Zeitplan für Sicherheitsupdates und Sofortmaßnahmen
Palo Alto Networks hat einen gestaffelten Zeitplan für die Veröffentlichung von Sicherheitspatches angekündigt. Die ersten Updates sollen zwischen dem 13. und 28. Mai 2026 verfügbar sein – abhängig von der jeweiligen PAN-OS-Version. Da die Schwachstelle bereits vor diesen Patches aktiv ausgenutzt wird, fordert der Hersteller Administratoren zu sofortigen Schutzmaßnahmen auf.
Die wichtigste Empfehlung: Das User-ID™ Authentication Portal sollte ausschließlich aus vertrauenswürdigen internen IP-Adressen erreichbar sein. Ist der Dienst für den Betrieb nicht zwingend erforderlich, raten die Sicherheitsexperten, ihn vollständig zu deaktivieren, bis die Patches eingespielt werden können.
Zur Identifikation gefährdeter Systeme können Sicherheitsteams die Firewall-Konfiguration im Bereich „Authentication Portal Settings“ unter „User Identification“ prüfen. Bereits am 5. Mai 2026 hat Palo Alto Networks eine Threat-Prevention-Signatur für Kunden mit aktiven Sicherheitsabonnements veröffentlicht. Diese bietet eine zusätzliche Erkennungs- und Blockierungsebene, ersetzt jedoch kein formelles Software-Update oder die Zugriffsbeschränkung auf den verwundbaren Dienst.
Rekord-Schäden durch Cyber-Angriffe zeigen deutlich, dass IT-Sicherheit eine proaktive Strategie benötigt, die über reine Software-Updates hinausgeht. Im kostenlosen Anti-Phishing-Paket erklären Experten, wie Sie Ihr Unternehmen wirksam absichern und Ihre Mitarbeiter für aktuelle Gefahren sensibilisieren können. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
Historischer Kontext und aktuelle Bedrohungslage
Die Offenlegung von CVE-2026-0300 reiht sich in eine serie von Sicherheitsvorfällen bei Perimeter-Geräten ein. In den vergangenen zwei Jahren verzeichnete Palo Alto Networks schwankende Exploit-Aktivitäten: Während 2025 nur zwei Schwachstellen aktiv ausgenutzt wurden, waren es 2024 gleich sieben verschiedene Lücken – darunter mehrere Zero-Day-Vorfälle. Die aktuelle Situation unterstreicht das anhaltende Interesse von Angreifern an genau den Geräten, die eigentlich die Netzwerkperimeter schützen sollen.
Vergleiche mit früheren PAN-OS-Vorfällen drängen sich auf. Ende 2024 verbanden Angreifer erfolgreich eine Dateierstellungs-Lücke mit einer Command-Injection-Schwachstelle, um tausende Geräte zu kompromittieren. Zwar gibt es derzeit keine Hinweise, dass CVE-2026-0300 Teil einer größeren Angriffskette ist – die Fähigkeit, durch ein einzelnes, nicht authentifiziertes Paket Root-Zugriff zu erlangen, macht die Lücke jedoch zu einer ernstzunehmenden eigenständigen Bedrohung.
Die US-Cybersicherheitsbehörde CISA hat diesen CVE noch nicht in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Doch die Behörde handelt in der Regel schnell, sobald der Hersteller aktive Ausnutzung bestätigt. Für Regierungsbehörden und Betreiber kritischer Infrastrukturen bedeuten Einträge im CISA-Katalog oft verbindliche Sanierungsfristen – ein Hinweis auf die Dringlichkeit für die nationale Sicherheit.
Ausblick für Netzwerkadministratoren
Bis zur Veröffentlichung der Patches Mitte Mai bleibt die Reduzierung der externen Angriffsfläche die oberste Priorität für IT-Abteilungen. Sicherheitsanalysten erwarten, dass die Häufigkeit von Scans und Sondierungen nach dem User-ID™ Authentication Portal nun deutlich zunehmen wird. Erfahrungen aus früheren Zero-Day-Ereignissen zeigen: Ist eine Schwachstelle erst einmal öffentlich bekannt, versuchen Cyberkriminelle oft, den Exploit zu automatisieren, um möglichst viele Systeme zu kompromittieren, bevor Patches flächendeckend verteilt sind.
Organisationen sollten ihre Systemprotokolle auf ungewöhnliche Aktivitäten ihrer Firewalls überwachen. Anzeichen für eine mögliche Kompromittierung können unautorisierte Konfigurationsänderungen, die Erstellung neuer Administratorkonten oder unerwarteter ausgehender Datenverkehr zu unbekannten IP-Adressen sein. Palo Alto Networks empfiehlt, bei Verdacht auf eine Kompromittierung vor einem Neustart oder Update eine Tech-Support-Datei (TSF) für forensische Analysen zu sichern – flüchtige Protokolldaten könnten sonst verloren gehen.
Die kommenden Wochen werden für die weltweit rund 70.000 Kunden von Palo Alto Networks kritisch sein. 90 Prozent der Fortune-10-Unternehmen setzen auf diese Firewalls. Die erfolgreiche Bewältigung von CVE-2026-0300 ist daher nicht nur eine technische Herausforderung – sie ist entscheidend, um großflächige Datenlecks und Netzwerkausfälle in der globalen Wirtschaft zu verhindern.
