Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer Authentifizierungsumgehung
TL;DR
Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer Authentifizierungsumgehung
Bild mit freundlicher Genehmigung von The Hacker News
Wenn Sie Infrastruktur von Palo Alto Networks betreiben, unterbrechen Sie Ihre Arbeit und prüfen Sie Ihre Patch-Protokolle. Das Unternehmen hat soeben kritische Sicherheitsupdates für PAN-OS und Prisma Access veröffentlicht, und diesmal handelt es sich nicht um routinemäßige Wartungsarbeiten. Wir beobachten eine aktive Ausnutzung in freier Wildbahn.
Die Situation konzentriert sich auf zwei Hauptprobleme: eine schwerwiegende Authentifizierungsumgehung (CVE-2026-0257), die es Angreifern ermöglicht, unbefugt in Ihr VPN einzudringen, und eine Schwachstelle in der Verwaltungsschnittstelle (CVE-2025-0108), die Hacker mit anderen Fehlern verketten, um sich einen Zugang zu verschaffen. Palo Alto Networks hat bestätigt, dass die Ausnutzung zwar derzeit begrenzt ist, aber stattfindet. Nicht gepatchte Geräte sind im Grunde leichte Beute.
Das VPN-Problem: CVE-2026-0257
Kommen wir zuerst zum Hauptproblem. CVE-2026-0257 ist ein CVSS-7.8-Albtraum für jedes Unternehmen, das sich für den Fernzugriff auf GlobalProtect verlässt. Im Kern ermöglicht diese Schwachstelle einem nicht authentifizierten Angreifer, Sicherheitsüberprüfungen zu umgehen und eine VPN-Sitzung zu initiieren. Es ist das digitale Äquivalent dazu, dass jemand durch Ihre Vordertür geht, weil das Schloss falsch herum eingebaut wurde.
Die Schwachstelle zielt speziell auf Konfigurationen ab, bei denen das GlobalProtect-Portal oder -Gateway aktiv ist und bestimmte Bedingungen bezüglich Zertifikatseinrichtungen und Authentifizierungs-Override-Cookies erfüllt sind. Wie von The Hacker News berichtet, hat Palo Alto Networks dieses Problem erstmals am 13. Mai 2026 gemeldet. Bis zum 29. Mai wurden die ersten bestätigten Ausnutzungsversuche in freier Wildbahn registriert. Wenn Sie dies noch nicht gepatcht haben, hinken Sie offiziell hinterher.
Risiken der Verwaltungsschnittstelle: CVE-2025-0108
Während die VPN-Umgehung vielleicht die Schlagzeilen beherrscht, sollten Sie CVE-2025-0108 nicht unterschätzen. Es handelt sich um ein Problem mit mittlerem Schweregrad (CVSS-BT 5.1), das die webbasierte Verwaltungsschnittstelle von PAN-OS betrifft, aber lassen Sie sich von der Einstufung „mittel“ nicht täuschen.
Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf die Verwaltungsschnittstelle, bestimmte PHP-Skripte auszulösen. Die eigentliche Gefahr liegt hier nicht in der isolierten Schwachstelle, sondern darin, wie Angreifer sie nutzen. Wir haben Beweise dafür gesehen, dass Bedrohungsakteure diesen Fehler mit zwei älteren Schwachstellen – CVE-2024-9474 und CVE-2025-0111 – verketten, um ihre Auswirkungen zu eskalieren. Es ist ein klassisches Szenario, in dem mehrere kleinere Fehler zu einer vollständigen Systemkompromittierung führen.
Zusammenfassung der Auswirkungen der Schwachstellen
| Schwachstellen-ID | Primäre Auswirkung | CVSS-Score |
|---|---|---|
| CVE-2026-0257 | Unbefugter VPN-Zugriff | 7.8 |
| CVE-2025-0108 | Umgehung der Verwaltungsschnittstelle | 5.1 |
So sichern Sie Ihre Umgebung ab
Das Patchen ist der unverzichtbare erste Schritt. Wenn Sie nicht die neueste Version von PAN-OS oder Prisma Access verwenden, lassen Sie die Tür weit offen. Da diese Schwachstellen jedoch aktiv ausgenutzt werden, müssen Sie mehr tun, als nur auf die Schaltfläche „Aktualisieren“ zu klicken. Sie müssen Ihre Konfiguration härten.
- Sofort aktualisieren: Bringen Sie Ihre Instanzen auf die neuesten vom Hersteller bereitgestellten Versionen. Es gibt keinen Workaround für den zugrunde liegenden Code-Fehler.
- Verwaltungszugriff einschränken: Für CVE-2025-0108 ist die beste Verteidigung, den Zugriff auf die Verwaltungsschnittstelle aus dem öffentlichen Internet zu unterbinden. Beschränken Sie den Zugriff nur auf vertrauenswürdige interne IP-Adressen. Wenn Sie eine Auffrischung benötigen, wie dies zu tun ist, lesen Sie die offizielle Anleitung zur Sicherung des Verwaltungszugriffs.
- GlobalProtect prüfen: Überprüfen Sie Ihre Portal- und Gateway-Einstellungen genau. Stellen Sie sicher, dass Ihre Authentifizierungs-Override-Cookies den Best Practices für Sicherheit entsprechen und dass Ihre Zertifikatskonfigurationen keinen unbeabsichtigten Umgehungsvektor schaffen.
- Protokolle überwachen: Ihr Sicherheitsteam sollte nach ungewöhnlichen PHP-Skriptaufrufen auf der Verwaltungsschnittstelle suchen. Wenn Sie noch ältere Schwachstellen wie CVE-2024-9474 oder CVE-2025-0111 in Ihrer Umgebung haben, sind Sie ein Hauptziel für diese verketteten Angriffe.
Das CVSS v4.0-Framework unterstreicht, wie kritisch dies ist. Wenn eine aktive Ausnutzung bestätigt ist, läuft die Zeit. Die Kombination aus nicht authentifiziertem Zugriff und der Möglichkeit, Skripte auf Verwaltungsschnittstellen auszuführen, ist ein Rezept für einen totalen Zusammenbruch der Infrastruktur.
Behalten Sie das Sicherheitsportal von Palo Alto Networks im Auge. Dies ist eine dynamische Situation, und während die Untersuchung dieser Kampagnen fortgesetzt wird, werden wahrscheinlich weitere Anleitungen erscheinen. Warten Sie nicht auf eine Benachrichtigung über eine Sicherheitsverletzung, um zu handeln – sichern Sie jetzt Ihren Perimeter.
