Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer Schwachstelle im Enterprise-VPN-Gateway

CVE-2026-0257 Palo Alto Networks patch GlobalProtect VPN vulnerability enterprise VPN gateway security CISA KEV
M
Marcus Chen

Encryption & Cryptography Specialist

 
9. Juni 2026
4 Min. Lesezeit
Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer Schwachstelle im Enterprise-VPN-Gateway

TL;DR

• Palo Alto Networks hat eine kritische Schwachstelle zur Umgehung der Authentifizierung (CVE-2026-0257) gepatcht. • Angreifer nutzen diese Lücke aktiv aus, um VPN-Sitzungs-Cookies zu fälschen. • Die CISA hat die Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. • Ungepatchte GlobalProtect-Portale/Gateways ermöglichen unbefugten seitlichen Zugriff auf das Netzwerk. • Administratoren müssen die neuesten Sicherheitspatches sofort anwenden, um ihre Perimeter zu sichern.

Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer Schwachstelle im Enterprise-VPN-Gateway

Wenn Sie das GlobalProtect VPN von Palo Alto Networks verwenden, unterbrechen Sie Ihre Arbeit und prüfen Sie sofort Ihren Patch-Status. Jetzt.

Palo Alto Networks hat offiziell bestätigt, dass Angreifer eine kritische Schwachstelle zur Umgehung der Authentifizierung aktiv ausnutzen, die unter der Kennung CVE-2026-0257 geführt wird. Dies ist kein theoretisches „Was-wäre-wenn“-Szenario; es passiert in der Praxis. Die Sicherheitslücke ermöglicht es nicht authentifizierten Remote-Akteuren, gültige Sitzungs-Cookies zu fälschen und sich so über GlobalProtect-Portale und -Gateways Zugriff auf Ihr internes Unternehmensnetzwerk zu verschaffen.

Die Situation eskalierte schnell. Am 29. Mai 2026 nahm die Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) auf – ein klares Signal, dass die Bedrohung schwerwiegend und weit verbreitet ist. Sicherheitsforscher und der Hersteller sind sich einig: Patchen Sie sofort. Der Exploit ist gefährlich einfach und wird bereits seit Mitte Mai aktiv genutzt.

Ein schneller Abstieg in die Kritikalität

Als diese Schwachstelle am 13. Mai 2026 erstmals auftauchte, wurde sie als mittelschwer eingestuft. Diese Einschätzung hielt nicht lange an. Nachdem Firmen wie Rapid7 bereits ab dem 17. Mai aktive Ausnutzungsversuche dokumentierten, hatte Palo Alto Networks keine andere Wahl, als die Bewertung auf „kritisch“ hochzustufen.

Der Fehler betrifft insbesondere Firewalls, bei denen „Authentication Override“-Cookies zusammen mit bestimmten Zertifikatskonfigurationen aktiviert sind. Es ist ein Lehrbuchbeispiel dafür, warum Einfachheit der Feind der Sicherheit ist. Da der Exploit auf dem öffentlich zugänglichen TLS-Zertifikat des Geräts basiert, um Authentifizierungs-Cookies zu fälschen, muss ein Angreifer kein Genie sein, um Ihre Anmeldeseite zu umgehen. Sobald er eingedrungen ist, wird das VPN-Gateway zu einem weit offenen Tor für seitliche Bewegungen (Lateral Movement) in Ihre sensibelsten internen Umgebungen.

Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach den Auswirkungen der Schwachstelle im Enterprise-VPN-Gateway

Bild mit freundlicher Genehmigung von Dark Reading

Das Ausmaß des Problems

Dies ist nicht auf eine Nischenversion von PAN-OS beschränkt; es ist ein breites Risiko für jeden, der GlobalProtect VPN-Konfigurationen verwendet. Wir sehen mehrere Bedrohungsgruppen, die nach ungepatchten Geräten suchen und dies als „Low-Hanging Fruit“ betrachten. Während die langfristigen Ziele dieser Akteure noch analysiert werden, ist die unmittelbare Realität ein vollständiges Versagen des Perimeters.

Hier ist die Zusammenfassung der Situation:

Attribut Detail
CVE-Kennung CVE-2026-0257
Schwachstellentyp Umgehung der Authentifizierung
Betroffene Komponente GlobalProtect Portal/Gateway
Ausnutzungsstatus Aktiv (bestätigt)
CISA KEV-Aufnahme 29. Mai 2026

Schadensbegrenzung: Was Sie tun müssen

Warten Sie nicht auf ein Wartungsfenster, das erst in Wochen stattfindet. Besuchen Sie das Palo Alto Networks Security Advisories Portal, um den spezifischen Patch für Ihre Version zu finden.

Nutzen Sie die Gelegenheit, um Ihren Perimeter abzusichern:

  • Konfigurationen prüfen: Überprüfen Sie Ihre GlobalProtect-Einstellungen. Sind „Authentication Override“-Cookies aktiviert? Wenn Sie diese nicht benötigen, deaktivieren Sie sie.
  • Patchen, Patchen, Patchen: Laden Sie die neuesten Updates über das Palo Alto Networks Support Portal herunter.
  • Logs überwachen: Behalten Sie Ihre VPN-Gateway-Logs genau im Auge. Achten Sie auf Authentifizierungsmuster, die nicht Ihren typischen Benutzern entsprechen, insbesondere Sitzungsanfragen, die Standardabläufe zu umgehen scheinen.
  • Informiert bleiben: Abonnieren Sie den Palo Alto Networks RSS-Feed. Sie müssen diese Warnungen in Echtzeit erhalten.

Wenn Sie etwas Verdächtiges finden, bietet der Hersteller ein Bug-Bounty-Programm für verantwortungsvolle Offenlegung an. Dies ist der beste Weg, um sicherzustellen, dass Ihre Erkenntnisse die richtigen Leute erreichen.

Die neue Realität der Unternehmensverteidigung

Die Änderung der Schweregrad-Einstufung für CVE-2026-0257 dient als düstere Erinnerung daran, wie schnell Bedrohungsakteure arbeiten. Sie benötigen keine komplexen, mehrstufigen Exploits mehr. Da dieser Fehler nur eine einzige HTTP-Anfrage erfordert, ist die Eintrittsbarriere praktisch nicht vorhanden. Das macht Ihre ungepatchte Firewall zu einem unglaublich attraktiven Ziel für jeden mit einem Skript und einer Internetverbindung.

Es gibt Hinweise darauf, dass dies nicht nur ein einzelner Akteur ist; diese Schwachstelle wurde in die Standard-Toolkits mehrerer Bedrohungsgruppen aufgenommen. Solange wir uns für den Fernzugriff auf VPN-Gateways verlassen, ist die Integrität dieses Authentifizierungsprozesses das Einzige, was zwischen einem Angreifer und Ihren Daten steht.

Palo Alto Networks führt einen Live-Feed mit technischen Details und Strategien zur Schadensbegrenzung auf ihrem Security Report Portal. Prüfen Sie diesen regelmäßig. Die Situation ist dynamisch, und Sie müssen sicherstellen, dass Ihre Verteidigung auf den neuesten Erkenntnissen basiert und nicht auf den Annahmen von gestern.

Bisher gibt es keine Hinweise darauf, dass Systeme mit deaktiviertem „Authentication Override“ gefährdet sind. Das ist die gute Nachricht. Aber wenn Sie Ihre PAN-OS-Umgebung noch nicht geprüft haben, tun Sie es heute. Möglicherweise haben Sie veraltete Konfigurationen, die Angreifer geradezu dazu einladen, ein Cookie zu fälschen und einfach einzudringen.

Angesichts der CISA-Warnung und der bestätigten aktiven Ausnutzung gibt es keinen Raum für Zögern. IT- und Sicherheitsteams müssen schnell handeln. Patchen Sie Ihre Software, verschärfen Sie Ihre Konfigurationen und behalten Sie die Logs im Auge. Die Bedrohungslandschaft wartet nicht darauf, dass Sie aufholen, und in diesem Fall sind die Kosten für Langsamkeit einfach zu hoch. Bleiben Sie wachsam – es wird wahrscheinlich im Laufe der Woche weitere Updates zu dieser Geschichte geben.

M
Marcus Chen

Encryption & Cryptography Specialist

 

Marcus Chen is a cryptography researcher and technical writer who has spent the last decade exploring the intersection of mathematics and digital security. He previously worked as a software engineer at a leading VPN provider, where he contributed to the implementation of next-generation encryption standards. Marcus holds a PhD in Applied Cryptography from MIT and has published peer-reviewed papers on post-quantum encryption methods. His mission is to demystify encryption for the general public while maintaining technical rigor.

Verwandte Nachrichten

Active Exploitation of Palo Alto GlobalProtect Authentication Bypass Flaw Prompts Urgent Enterprise Security Alerts
CVE-2026-0257

Active Exploitation of Palo Alto GlobalProtect Authentication Bypass Flaw Prompts Urgent Enterprise Security Alerts

CISA adds Palo Alto GlobalProtect flaw CVE-2026-0257 to KEV list. Learn how to identify and patch this critical authentication bypass vulnerability immediately.

Von James Okoro 8. Juni 2026 4 Min. Lesezeit
common.read_full_article
Palo Alto Networks Issues Urgent Security Patch Following Active Exploitation of Authentication Bypass Vulnerability
Palo Alto Networks security patch

Palo Alto Networks Issues Urgent Security Patch Following Active Exploitation of Authentication Bypass Vulnerability

Palo Alto Networks has released critical security patches for PAN-OS. Patch now to defend against active exploitation of CVE-2026-0257 and CVE-2025-0108.

Von Elena Voss 7. Juni 2026 3 Min. Lesezeit
common.read_full_article
Palo Alto Networks Issues Urgent Security Patch for Critical Vulnerability in PAN-OS and Prisma Gateways
CVE-2026-0257

Palo Alto Networks Issues Urgent Security Patch for Critical Vulnerability in PAN-OS and Prisma Gateways

Palo Alto Networks confirms active exploitation of critical CVE-2026-0257 in PAN-OS and Prisma Gateways. Patch immediately to prevent unauthorized VPN access.

Von Marcus Chen 6. Juni 2026 4 Min. Lesezeit
common.read_full_article
NEAR Protocol to Integrate Quantum-Resistant Cryptography This Month to Enhance Network Security
NEAR Protocol

NEAR Protocol to Integrate Quantum-Resistant Cryptography This Month to Enhance Network Security

NEAR Protocol is integrating FIPS-compliant post-quantum cryptography this June to defend against future quantum threats. Learn how this upgrade affects you.

Von James Okoro 5. Juni 2026 3 Min. Lesezeit
common.read_full_article