Palo Alto GlobalProtect unter Beschuss: Authentifizierungs-Umgehungslücke landet auf CISA KEV-Liste
TL;DR
Palo Alto GlobalProtect unter Beschuss: Authentifizierungs-Umgehungslücke landet auf CISA KEV-Liste
Palo Alto Networks hat das Schlimmste bestätigt: Eine hochkritische Schwachstelle zur Umgehung der Authentifizierung, geführt unter CVE-2026-0257, wird derzeit aktiv ausgenutzt. Dieser Fehler ist keine bloße Theorie; er stellt eine direkte Sicherheitslücke in den GlobalProtect-Portal- und Gateway-Komponenten von PAN-OS dar. Für Angreifer ist das Prinzip simpel: Sie können Authentifizierungs-Cookies fälschen und so die VPN-Zugangskontrolle ohne Passwort umgehen.
Die Lage hat sich schnell zugespitzt. Nachdem Berichte über gezielte Angriffe auftauchten, hat die CISA die Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Wenn Sie betroffene Firewall-Konfigurationen betreiben, ist dies ein dringender Weckruf. Das Risiko eines unbefugten Netzwerkzugriffs ist hoch, und das Einspielen von Patches ist nicht optional – es ist der einzige Weg, den Perimeter zu schützen.
Die Mechanismen des Angriffs
Wie gehen Angreifer dabei vor? Es liegt an einer grundlegenden Schwäche in der Art und Weise, wie PAN-OS mit "Authentication Override"-Cookies umgeht. Wenn diese Funktion auf einem GlobalProtect-Portal oder Gateway aktiviert ist, wird das System anfällig für gefälschte Eingaben.
Laut dem offiziellen Sicherheitshinweis von Palo Alto Networks wird die Schwachstelle genau dann ausgelöst, wenn dieser Override-Mechanismus aktiv ist. Es ist ein klassischer Fall von Vertrauen in falsche Daten. Rapid7, das die aktive Ausnutzung der Schwachstelle beobachtete, identifizierte zwei unterschiedliche Angriffswellen: eine am 17. Mai 2026 und eine zweite, aggressivere am 21. Mai. Dies waren keine bloßen Sondierungen, sondern erfolgreiche Versuche, unbefugte VPN-Sitzungen zu etablieren.
Die Branche hat die Gefahr erkannt. Während die erste Risikobewertung konservativ war, liegt der aktualisierte CVSSv4-Score für CVE-2026-0257 nun bei 7,8. Dies ist eine hohe Einstufung, die die Realität der Bedrohung widerspiegelt: Sie ist leicht auszunutzen, erfordert keine Benutzerinteraktion und wird derzeit von realen Angreifern verwendet.
Ist Ihre Umgebung gefährdet?
Nicht jede PAN-OS-Bereitstellung ist gefährdet. Diese Schwachstelle ist strikt an die Konfiguration "Authentication Override" gebunden. Wenn Sie diese Funktion nicht aktiviert haben, sind Sie sicher – aber verlassen Sie sich nicht blind darauf. Überprüfen Sie Ihre Einstellungen.
Um festzustellen, ob Sie betroffen sind, gehen Sie in Ihrer PAN-OS-Verwaltungsoberfläche wie folgt vor:
- Navigationspfad: Network > GlobalProtect > Gateways > Agent > Client Settings
- Ziel-Einstellung: "Accept cookie for authentication override"
Wenn dieses Kontrollkästchen aktiviert ist, sind Sie verwundbar. Der detaillierte Bedrohungsbericht von Palo Alto ist für jedes Sicherheitsteam lesenswert, das die spezifischen Angriffsmuster verstehen möchte, die Unit 42 verfolgt hat. Es ist ein ernüchternder Blick darauf, wie schnell solche Umgehungen instrumentalisiert werden können.
Patching und Schadensbegrenzung
Die Lösung ist unkompliziert, erfordert jedoch einen gewissen Aufwand. Da die Schwachstelle in der Art und Weise verwurzelt ist, wie die Firewall kryptografische Cookies handhabt, müssen Sie den alten Zyklus unterbrechen, um einen neuen zu starten.
| Minderungsmaßnahme | Auswirkungen auf Benutzer |
|---|---|
| Sicherheits-Patch anwenden | Erzwingt eine einmalige erneute Authentifizierung für alle Benutzer. |
| Auth Override deaktivieren | Beseitigt die Schwachstelle, erfordert aber manuelle Anmeldung. |
| Prisma Access Update | Wird automatisch von Palo Alto Networks verwaltet. |
Wenn Sie den Patch anwenden, beginnt das System, Cookies mit einer robusteren, sichereren Methode zu generieren. Der unmittelbare Nebeneffekt: Jeder aktive GlobalProtect-Benutzer wird getrennt und zur erneuten Authentifizierung gezwungen. Das ist zwar lästig, aber notwendig. Es ist der einzige Weg, um sicherzustellen, dass gefälschte Cookies, die derzeit im Umlauf sind, unbrauchbar werden.
Für Nutzer von Prisma Access ist die Lage entspannter. Palo Alto übernimmt die Arbeit in ihrer cloud-verwalteten Infrastruktur. Diese Umgebungen werden automatisch gemäß dem Standard-Wartungsplan aktualisiert, sodass Sie selbst nichts tun müssen.
Wachsam bleiben
Die Tatsache, dass diese Schwachstelle aktiv ausgenutzt wird, ist eine deutliche Erinnerung daran, dass Edge-Geräte die erste Verteidigungslinie bilden – und oft die ersten Ziele sind. Da dieser Fehler einen nicht authentifizierten Zugriff ermöglicht, ist das Zeitfenster für Angreifer weit offen, bis Sie es schließen.
Sicherheitsteams sollten jetzt ihre VPN-Protokolle prüfen. Gibt es anomale Authentifizierungsmuster? Werden Sitzungen zu ungewöhnlichen Zeiten oder von unerwarteten Standorten aus aufgebaut? Wenn Sie etwas sehen, das nicht ins Muster passt, untersuchen Sie es sofort.
Da der Fehler nun offiziell im CISA KEV-Katalog gelistet ist, steigt der Druck. Bundesbehörden sind bereits zum Patchen verpflichtet, und private Organisationen sollten ohne Verzögerung folgen. Selbst wenn Sie nicht in einer regulierten Branche tätig sind, sollte die Kombination aus aktiver Ausnutzung und hoher Schweregrad-Einstufung ausreichen, um dies ganz oben auf Ihre Prioritätenliste zu setzen.
Der Übergang zu einer sichereren Methode der Cookie-Generierung ist ein entscheidender Schritt, aber noch nicht das Ende der Geschichte. Behalten Sie Ihre GlobalProtect-Gateway-Protokolle genau im Auge. Auch nach dem Patchen sollten Sie nach Restspuren suchen, die darauf hindeuten könnten, dass jemand versucht hat, durch die Tür zu schlüpfen, bevor Sie sie verschlossen haben. In der Welt der Cybersicherheit ist proaktives Handeln der einzige Weg, um die Nase vorn zu haben. Halten Sie Ihre Systeme auf dem neuesten Stand, halten Sie Ihre Protokolle sauber und gehen Sie nicht davon aus, dass Sie sicher sind, nur weil Sie noch keine Warnmeldung erhalten haben.
