Palo Alto Networks veröffentlicht dringenden Patch nach aktiver Ausnutzung einer Sicherheitslücke im Enterprise-VPN-Gateway

CVE-2026-0257 Palo Alto Networks VPN GlobalProtect vulnerability enterprise VPN security patch authentication bypass
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2. Juni 2026
4 Min. Lesezeit
Palo Alto Networks veröffentlicht dringenden Patch nach aktiver Ausnutzung einer Sicherheitslücke im Enterprise-VPN-Gateway

TL;DR

• CVE-2026-0257 ermöglicht Angreifern die Umgehung der Authentifizierung über GlobalProtect-Cookies. • Die aktive Ausnutzung in freier Wildbahn wurde von Sicherheitsforschern bestätigt. • Die CISA hat die Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. • Angreifer können Administratoren imitieren, um vollen Netzwerkzugriff zu erlangen. • Ein sofortiges Patchen ist erforderlich, um Enterprise-VPN-Gateways zu sichern.

Palo Alto Networks veröffentlicht dringenden Patch nach aktiver Ausnutzung einer Sicherheitslücke im Enterprise-VPN-Gateway

Wenn Sie ein Palo Alto Networks VPN betreiben, hören Sie auf zu lesen und überprüfen Sie sofort Ihre Protokolle. Das Unternehmen hat soeben bestätigt, dass CVE-2026-0257 – eine schwerwiegende Schwachstelle zur Umgehung der Authentifizierung – kein theoretisches Problem mehr darstellt. Sie wird derzeit aktiv in freier Wildbahn ausgenutzt.

Dies ist kein routinemäßiges Update. Die Schwachstelle betrifft die GlobalProtect-Portale und Gateway-Konfigurationen innerhalb von PAN-OS und Prisma Access. Einfach ausgedrückt: Angreifer finden Wege, in interne Unternehmensnetzwerke einzudringen, ohne jemals ein gültiges Passwort zu benötigen.

Als die Schwachstelle am 13. Mai 2026 erstmals auftauchte, wurde sie mit einem CVSS-Wert von 7,8 eingestuft. Zunächst wirkte es wie ein Ärgernis mit „mittlerem Schweregrad“. Doch die Lage änderte sich schlagartig, als Berichte über aktive Ausnutzungen bekannt wurden. Jetzt schlagen alle Alarm – von Bundesbehörden bis hin zu unabhängigen Sicherheitsforschern. Angreifer haben herausgefunden, wie man Authentifizierungs-Cookies fälscht und sich effektiv als legitime Mitarbeiter ausgibt. Sobald sie drin sind, agieren sie wie Geister im System.

Die Mechanismen des Einbruchs

Wie gehen sie vor? Die Schwachstelle liegt in der Art und Weise, wie GlobalProtect-Gateways mit „Authentication Override“-Cookies umgehen. Wenn Sie diese Cookies aktiviert haben und Ihre Zertifikatskonfigurationen auf eine bestimmte Weise eingestellt sind, vergisst das System im Grunde zu prüfen, ob die Sitzung tatsächlich legitim ist.

Es ist das klassische Szenario einer „offen gelassenen Vordertür“. Durch die Manipulation dieser Sitzungs-Token erhält ein Angreifer exakt dieselben Berechtigungen wie der Benutzer, den er imitiert. Wenn sie die Sitzung eines hochrangigen Administrators kapern, haben sie die Schlüssel zum Königreich.

Palo Alto Networks veröffentlicht dringenden Patch nach aktiver Ausnutzung einer Sicherheitslücke im Enterprise-VPN-Gateway

Bild mit freundlicher Genehmigung von The Hacker News

Der Zeitplan ist brutal. Forscher bei Rapid7 entdeckten Ausnutzungsversuche bereits am 17. Mai 2026. Das ist ein extrem kurzer Zeitraum zwischen der ersten Warnung und der ersten Welle realer Angriffe. Für viele IT-Teams wurde der „Patch-Zyklus“ gerade zu einem Sprint bis zur Ziellinie.

Die Situation eskalierte am 29. Mai 2026, als die Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufnahm. Wenn die CISA einen solchen Schritt unternimmt, ist das ein riesiges Warnsignal für alle Bundesbehörden und Akteure des Privatsektors, dass die Bedrohung real, aktuell und gefährlich ist.

Die Realität des Risikos

Wenn Sie sich fragen, ob Sie im Visier stehen, überprüfen Sie Ihr GlobalProtect-Setup. Die Schwachstelle zielt speziell auf Umgebungen ab, die die „Authentication Override“-Funktionalität nutzen. Wenn Ihre Zertifikats- oder Override-Einstellungen nicht mit den Sicherheitsanforderungen des Herstellers übereinstimmen, sind Sie ein leichtes Ziel. Palo Alto Networks hat das offizielle Sicherheits-Advisory für CVE-2026-0257 veröffentlicht, das für jeden verantwortungsbewussten Administrator Pflichtlektüre ist.

Attribut Details
CVE-ID CVE-2026-0257
CVSS-Wert 7,8 (Mittel)
Betroffene Produkte PAN-OS, Prisma Access (GlobalProtect)
Ausnutzungsstatus Aktiv in freier Wildbahn ausgenutzt
Hauptrisiko Umgehung der Authentifizierung / Unbefugter VPN-Zugriff

Lassen Sie sich nicht vom „mittleren“ CVSS-Wert täuschen. Da dieser Exploit auf gefälschten Cookies basiert, bemerken Ihre Standard-Perimeter-Verteidigungen möglicherweise gar nichts. Wenn ein Angreifer Ihre Gateway-Konfigurationsdetails kennt, ist er bereits halb am Ziel. Der einzige wirkliche Weg, die Tür zu schließen, ist die Installation der vom Hersteller bereitgestellten Patches. Es gibt hier keine Abkürzungen.

Was sollten Sie jetzt tun?

Der Konsens in der Branche ist klar: Behandeln Sie dies wie eine Notfallübung. Wie The Hacker News betonte, ist die Eintrittshürde für Angreifer hier lächerlich niedrig. Es ist ein extrem wertvolles Ziel für jeden, der einen unauffälligen, dauerhaften Fußabdruck in einem Unternehmensnetzwerk etablieren möchte.

Das Threat-Intelligence-Team von Rapid7 verfolgt diese Versuche und stellt fest, dass sie eindeutig darauf abzielen, die VPN-Schicht zu umgehen, um laterale Bewegungen und Datendiebstahl zu ermöglichen. Sobald sie erst einmal drin sind, wird das VPN – Ihre erste Verteidigungslinie – zu einer Schwachstelle.

Wie The Register richtig anmerkte, hat sich dieser Fehler von einem „Beobachtungshinweis“ zu einem Notfall entwickelt, bei dem alle Hände an Deck gefragt sind.

Hier ist Ihr sofortiger Aktionsplan:

  • Konfigurationen prüfen: Überprüfen Sie Ihre GlobalProtect-Portal- und Gateway-Einstellungen. Sind „Authentication Override“-Cookies aktiviert? Wenn ja, läuft Ihnen die Zeit davon.
  • Versionsprüfung: Vergleichen Sie Ihre aktuellen PAN-OS- und Prisma Access-Versionen mit den Anforderungen des Herstellers.
  • Sofort patchen: Warten Sie nicht auf das nächste Wartungsfenster. Installieren Sie die Updates jetzt.
  • Protokollüberprüfung: Durchsuchen Sie Ihre VPN-Protokolle nach Auffälligkeiten. Achten Sie auf Sitzungsaktivitäten, die nicht Ihrem typischen Benutzerverhalten entsprechen – insbesondere Anmeldungen aus unerwarteten geografischen Regionen oder von Geräten, die Sie nicht kennen.
  • Informiert bleiben: Halten Sie das offizielle Sicherheitsportal von Palo Alto Networks in einem Tab geöffnet. Die Dinge entwickeln sich schnell, und die Anleitungen werden aktualisiert, sobald neue Erkenntnisse vorliegen.

Dies ist eine dynamische Situation. Da der Exploit legitime Benutzer imitiert, können Sie nicht einfach nach „bösartigem“ Datenverkehr suchen – Sie müssen nach anomalem Datenverkehr suchen. Hat sich ein Mitarbeiter aus einer neuen Stadt angemeldet? Blieb eine Sitzung ungewöhnlich lange offen?

Die Aufnahme dieses Fehlers in den CISA KEV-Katalog bestätigt, dass es sich nicht nur um vereinzelte Vorfälle handelt. Es ist ein Trend. Palo Alto Networks arbeitet hart daran, Kunden bei der Absicherung zu unterstützen, aber die Hauptarbeit müssen Sie leisten. Wenn Sie Ihre Gateway-Konfigurationen noch nicht überprüft haben, tun Sie es heute. Das Zeitfenster, um dem zuvorzukommen, schließt sich, und die Angreifer werden nicht langsamer.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Verwandte Nachrichten

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Von Marcus Chen 3. Juni 2026 4 Min. Lesezeit
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Von Elena Voss 1. Juni 2026 5 Min. Lesezeit
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Von Sophia Andersson 31. Mai 2026 4 Min. Lesezeit
common.read_full_article
Authorities Seize First VPN Infrastructure Used to Facilitate Large-Scale Ransomware Operations
First VPN seizure

Authorities Seize First VPN Infrastructure Used to Facilitate Large-Scale Ransomware Operations

Global law enforcement has seized 'First VPN,' a bulletproof service used by 25+ ransomware groups for over a decade. Learn how this cybercrime hub was dismantled.

Von James Okoro 30. Mai 2026 4 Min. Lesezeit
common.read_full_article