Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer GlobalProtect VPN-Schwachstelle

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
28. Juni 2026
4 Min. Lesezeit
Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer GlobalProtect VPN-Schwachstelle

TL;DR

• Palo Alto Networks hat einen Notfall-Patch für CVE-2026-0257 veröffentlicht. • Die Schwachstelle ermöglicht es Angreifern, VPN-Authentifizierungsprotokolle zu umgehen. • Die CISA hat die Sicherheitslücke in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. • Angreifer nutzen den Fehler bereits aktiv aus. • Administratoren müssen PAN-OS sofort aktualisieren, um Unternehmens-Gateways zu sichern.

Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer GlobalProtect VPN-Schwachstelle

Bild mit freundlicher Genehmigung von The Hacker News

Palo Alto Networks hat soeben einen Notfall-Patch für eine kritische Schwachstelle zur Umgehung der Authentifizierung veröffentlicht, die unter CVE-2026-0257 geführt wird. Diese Sicherheitslücke betrifft die GlobalProtect-Portal- und Gateway-Komponenten der PAN-OS-Software und sollte keinesfalls ignoriert werden. Kurz gesagt: Sie ermöglicht es nicht authentifizierten Angreifern, die Standard-Anmeldeprotokolle zu umgehen und unbefugte VPN-Verbindungen herzustellen. Für jedes Unternehmen, das sich auf diese Gateways verlässt, stellt dies ein massives Sicherheitsrisiko dar.

Die Situation eskalierte schnell. Was als gewöhnlicher Schwachstellenbericht begann, entwickelte sich zu einem Vorfall mit hoher Priorität, nachdem Forscher bestätigten, dass böswillige Akteure die Lücke bereits aktiv ausnutzen. Aus diesem Grund hat die Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle offiziell in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Falls Sie das Update noch nicht installiert haben, sollten Sie dies umgehend nachholen.

Funktionsweise des Exploits

Das Kernproblem liegt darin, wie PAN-OS Authentifizierungs-Override-Cookies verarbeitet. Wenn Ihr GlobalProtect-Portal oder Gateway so konfiguriert ist, dass diese Cookies akzeptiert werden – eine gängige Komfortfunktion –, validiert das System die Sitzung nicht ordnungsgemäß. Dies lässt das System im Grunde genommen ungeschützt. Besonders gefährlich ist dies in Umgebungen, in denen der Cloud Authentication Service (CAS) deaktiviert ist, da das System dann auf einen internen Mechanismus angewiesen ist, der derzeit anfällig für Manipulationen ist.

Die technischen Mechanismen sind überraschend simpel: Durch das Erstellen spezifischer Anfragen können Angreifer die Notwendigkeit gültiger Anmeldedaten vollständig umgehen. Sie geben sich effektiv als legitime Benutzer aus. Forscher von Rapid7 entdeckten diese Aktivitäten erstmals am 17. Mai 2026. Die ersten Sonden konnten auf Infrastrukturen zurückverfolgt werden, die bei Anbietern wie Vultr und Dromatics Systems gehostet wurden. Dies deutet darauf hin, dass es sich nicht um einen zufälligen Fehler handelte, sondern um eine koordinierte Suche nach exponierten VPN-Gateways.

Obwohl Palo Alto Networks das Risiko zunächst als moderat einstufte, zwang die Realität der aktiven Ausnutzung das Unternehmen dazu, den CVSSv4-Score auf 7,8 anzuheben. Das entspricht einer „hohen“ Schweregrad-Einstufung und berücksichtigt, wie einfach der Angriff durchzuführen ist und wie viel Schaden ein Angreifer anrichten kann, sobald er sich innerhalb Ihres Tunnels befindet.

Ist Ihre Infrastruktur gefährdet?

Nicht jede PAN-OS-Bereitstellung ist gefährdet. Die Schwachstelle zielt speziell auf Systeme ab, bei denen das „Authentication Override“ aktiviert ist – eine Funktion, die Benutzer verbunden hält, ohne dass sie sich bei jedem Sitzungsablauf erneut anmelden müssen.

Um zu prüfen, ob Sie betroffen sind, werfen Sie einen Blick auf Ihre Verwaltungsoberfläche:

  • Gehen Sie zum Tab Network und wählen Sie GlobalProtect.
  • Überprüfen Sie Ihre Gateways- und Agent-Einstellungen.
  • Suchen Sie nach dem Kontrollkästchen „Accept cookie for authentication override“.
  • Prüfen Sie, ob Ihr Cloud Authentication Service (CAS) deaktiviert ist. Wenn das Kästchen aktiviert und CAS ausgeschaltet ist, sind Sie wahrscheinlich gefährdet.

Patching und Schadensbegrenzung

Palo Alto Networks veröffentlichte das Advisory am 13. Mai 2026 und bestätigte die aktive Ausnutzung bis Ende des Monats. Die einzige wirksame Lösung ist die Installation der vom Hersteller bereitgestellten Patches. Da es sich um einen Logikfehler bei der Generierung und Validierung von Cookies handelt, ändert das Update grundlegend die Art und Weise, wie das System Sitzungen handhabt.

Aktion Ergebnis
Sicherheits-Patch anwenden Behebt die Logik zur Umgehung der Authentifizierung.
Re-Authentifizierung Erzwingt eine einmalige Anmeldung für alle GlobalProtect-Benutzer.
Prisma Access Wird automatisch über den Standard-Wartungsplan aktualisiert.

Das Einspielen des Patches erzwingt eine einmalige erneute Authentifizierung für alle Ihre Benutzer. Das ist zwar lästig, aber notwendig. Der Patch zwingt das System dazu, Authentifizierungs-Cookies mithilfe einer sichereren kryptografischen Methode neu zu generieren, wodurch bestehende, potenziell kompromittierte Sitzungen effektiv beendet werden.

Für Nutzer von Prisma Access gibt es gute Nachrichten: Palo Alto Networks führt die Updates automatisch durch. Behalten Sie einfach Ihre Admin-Konsole auf Wartungshinweise im Auge.

Das Gesamtbild

Der Übergang von einem theoretischen Fehler zu einer aktiv ausgenutzten Schwachstelle ändert alles. Angreifer nutzen kommerzielle Hosting-Anbieter, um ihre Bemühungen zu skalieren, was bedeutet, dass sie aggressiv und gut ausgestattet sind.

Sicherheitsteams müssen wachsam sein. Überprüfen Sie Ihre Protokolle auf ungewöhnliche Authentifizierungsmuster oder VPN-Verbindungen aus IP-Bereichen, die keinen Sinn ergeben. Da dieser Exploit den Anmeldebildschirm umgeht, werden Ihre standardmäßigen, auf Anmeldedaten basierenden Warnmeldungen möglicherweise nicht ausgelöst. Sie müssen nach erfolgreichen VPN-Sitzungen suchen, denen kein entsprechendes Anmeldeereignis vorausgeht – das ist Ihr entscheidender Hinweis.

Wie The Hacker News betonte, besteht die Gefahr darin, dass ein Angreifer, sobald er das Portal passiert hat, im Grunde als vertrauenswürdiger Benutzer gilt. Er kann Ihr internes Netzwerk scannen, sich seitlich bewegen und Schadsoftware einschleusen, ohne dass es jemand bemerkt.

Wenn Sie nicht sofort patchen können, deaktivieren Sie vorsichtshalber die Funktion „Accept cookie for authentication override“. Ihre Benutzer werden sich vielleicht darüber beschweren, dass sie sich häufiger anmelden müssen, aber das ist ein kleiner Preis für die Sicherheit Ihres Netzwerks, während Sie das Update vorbereiten. Bleiben Sie über das Sicherheits-Advisory-Portal von Palo Alto Networks auf dem Laufenden – die Situation ist dynamisch und weitere Anweisungen könnten folgen.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Verwandte Nachrichten

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Von Viktor Sokolov 10. Juli 2026 4 Min. Lesezeit
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Von Marcus Chen 9. Juli 2026 4 Min. Lesezeit
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Von Elena Voss 8. Juli 2026 4 Min. Lesezeit
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Von James Okoro 7. Juli 2026 4 Min. Lesezeit
common.read_full_article