Die US-Sicherheitsbehörde CISA hat eine schwerwiegende Schwachstelle in Palo-Alto-Netzwerken in ihren Katalog bekannter Sicherheitslücken aufgenommen. Der Fehler mit der Kennung CVE-2026-0257 wird bereits aktiv ausgenutzt, um über GlobalProtect-VPN-Gateways in Unternehmensnetzwerke einzudringen. Die Einstufung erfolgte am 29. Mai.
Angriffswellen seit Mitte Mai
Palo Alto Networks hatte die Sicherheitslücke bereits am 13. Mai in einer Warnmeldung beschrieben. Damals stufte der Hersteller das Risiko auf Basis interner Untersuchungen ein. Nur wenige Tage später bestätigten Sicherheitsforscher: Angreifer hatten die Schwachstelle bereits im Visier.
Da immer mehr Unternehmen gezielt Opfer solcher Cyberangriffe werden, bietet eine proaktive Absicherung den einzig wirksamen Schutz. Erfahren Sie in diesem kostenlosen E-Book, mit welchen Strategien Experten Ihre IT-Infrastruktur wirksam vor Ransomware und Datendiebstahl bewahren. Kostenlosen Sicherheits-Ratgeber herunterladen
Die erste dokumentierte Angriffswelle registrierten Experten von Rapid7 am 17. Mai. Die Angreifer nutzten dabei Infrastruktur des Cloud-Anbieters Vultr. Eine zweite Welle folgte am 21. Mai – diesmal über Systeme von Dromatics Systems. Auffällig: Die Täter verwendeten durchgehend gefälschte MAC-Adressen und identische Rechnernamen wie „GP-CLIENT“ oder „DESKTOP-GP01″. Das deutet auf einen einzelnen Verantwortlichen hin.
In mindestens zwei dokumentierten Fällen gelang es den Angreifern, sich selbst VPN-IP-Adressen zuzuweisen und vollen Zugriff auf interne Netzwerke zu erlangen. Zwar blieb in diesen Fällen eine größere Schadensaktion aus – Branchenexperten warnen jedoch: Solcher Zugriff ist typischerweise der erste Schritt vor Datendiebstahl oder Ransomware-Angriffen.
Technische Hintergründe: Gefälschte Cookies als Einfallstor
Die Schwachstelle trägt einen CVSS-Score von 7,8 und liegt in der Funktion „Authentication Override“ von PAN-OS und Prisma Access. Diese nicht standardmäßig aktivierte Konfiguration enthält einen Logikfehler: Das System führt nach der Entschlüsselung von Authentifizierungs-Cookies keine Signaturprüfung durch.
Angreifer können diesen Fehler ausnutzen, indem sie gefälschte Cookies präsentieren. Damit umgehen sie die legitimen Authentifizierungsprotokolle und erlangen lokale Administratorrechte auf dem VPN-Gateway. Jüngste Berichte bringen diese Angriffe mit einer Welle von Ransomware-Aktivitäten in Verbindung. Ein Vorfall beim US-Großhändler Plexsupply Inc. wurde kürzlich einem Bedrohungsakteur namens „pear“ zugeschrieben. Forscher vermuten, dass die Angreifer automatisierte Scans einsetzen, um verwundbare Systeme aufzuspüren.
Solche kritischen Sicherheitslücken verdeutlichen, wie wichtig es für IT-Verantwortliche ist, bestehende Einfallstore rechtzeitig zu schließen. Wie Sie die Cyber-Security Ihres Unternehmens ohne teure Investitionen stärken und neue gesetzliche Anforderungen erfüllen, zeigt dieser praxisnahe Guide. IT-Sicherheit stärken und Unternehmen schützen
Patches verfügbar – Handlungsfrist läuft
Palo Alto Networks hat mehrere aktualisierte Versionen veröffentlicht, darunter PAN-OS 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 und 10.2.18-h6. Auch für Prisma Access gibt es Updates in den Versionen 11.2.7-h13 und 10.2.10-h36. Ausdrücklich nicht mehr versorgt werden die ausgemusterten Versionen 9.0, 9.1 und 10.0.
Für Unternehmen, die nicht sofort patchen können, empfehlen Sicherheitsexperten, die „Authentication Override“-Funktion zu deaktivieren oder auf eine Konfiguration mit eindeutigen Zertifikaten umzustellen. Die US-Behörde CISA setzt Bundesbehörden eine strikte Frist bis Anfang Juni. Für breitere Compliance-Rahmenwerke gilt der 19. Juni als letzter Termin für die Behebung.
Es ist bereits der zweite Vorfall innerhalb eines Monats, bei dem eine PAN-OS-Lücke in den CISA-Katalog aufgenommen wurde – nach einer separaten Schwachstelle am 6. Mai. Experten betonen: VPN-Schwachstellen bleiben der primäre Einfallstor für Angriffe auf kritische Infrastrukturen und Unternehmen.
