Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer GlobalProtect VPN-Schwachstelle
TL;DR
Palo Alto Networks veröffentlicht dringendes Sicherheitsupdate nach aktiver Ausnutzung einer GlobalProtect VPN-Schwachstelle
Bild mit freundlicher Genehmigung von The Hacker News
Palo Alto Networks hat soeben einen Notfall-Patch für eine kritische Schwachstelle zur Umgehung der Authentifizierung veröffentlicht, die unter CVE-2026-0257 geführt wird. Diese Sicherheitslücke betrifft die GlobalProtect-Portal- und Gateway-Komponenten der PAN-OS-Software und sollte keinesfalls ignoriert werden. Kurz gesagt: Sie ermöglicht es nicht authentifizierten Angreifern, die Standard-Anmeldeprotokolle zu umgehen und unbefugte VPN-Verbindungen herzustellen. Für jedes Unternehmen, das sich auf diese Gateways verlässt, stellt dies ein massives Sicherheitsrisiko dar.
Die Situation eskalierte schnell. Was als gewöhnlicher Schwachstellenbericht begann, entwickelte sich zu einem Vorfall mit hoher Priorität, nachdem Forscher bestätigten, dass böswillige Akteure die Lücke bereits aktiv ausnutzen. Aus diesem Grund hat die Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle offiziell in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Falls Sie das Update noch nicht installiert haben, sollten Sie dies umgehend nachholen.
Funktionsweise des Exploits
Das Kernproblem liegt darin, wie PAN-OS Authentifizierungs-Override-Cookies verarbeitet. Wenn Ihr GlobalProtect-Portal oder Gateway so konfiguriert ist, dass diese Cookies akzeptiert werden – eine gängige Komfortfunktion –, validiert das System die Sitzung nicht ordnungsgemäß. Dies lässt das System im Grunde genommen ungeschützt. Besonders gefährlich ist dies in Umgebungen, in denen der Cloud Authentication Service (CAS) deaktiviert ist, da das System dann auf einen internen Mechanismus angewiesen ist, der derzeit anfällig für Manipulationen ist.
Die technischen Mechanismen sind überraschend simpel: Durch das Erstellen spezifischer Anfragen können Angreifer die Notwendigkeit gültiger Anmeldedaten vollständig umgehen. Sie geben sich effektiv als legitime Benutzer aus. Forscher von Rapid7 entdeckten diese Aktivitäten erstmals am 17. Mai 2026. Die ersten Sonden konnten auf Infrastrukturen zurückverfolgt werden, die bei Anbietern wie Vultr und Dromatics Systems gehostet wurden. Dies deutet darauf hin, dass es sich nicht um einen zufälligen Fehler handelte, sondern um eine koordinierte Suche nach exponierten VPN-Gateways.
Obwohl Palo Alto Networks das Risiko zunächst als moderat einstufte, zwang die Realität der aktiven Ausnutzung das Unternehmen dazu, den CVSSv4-Score auf 7,8 anzuheben. Das entspricht einer „hohen“ Schweregrad-Einstufung und berücksichtigt, wie einfach der Angriff durchzuführen ist und wie viel Schaden ein Angreifer anrichten kann, sobald er sich innerhalb Ihres Tunnels befindet.
Ist Ihre Infrastruktur gefährdet?
Nicht jede PAN-OS-Bereitstellung ist gefährdet. Die Schwachstelle zielt speziell auf Systeme ab, bei denen das „Authentication Override“ aktiviert ist – eine Funktion, die Benutzer verbunden hält, ohne dass sie sich bei jedem Sitzungsablauf erneut anmelden müssen.
Um zu prüfen, ob Sie betroffen sind, werfen Sie einen Blick auf Ihre Verwaltungsoberfläche:
- Gehen Sie zum Tab Network und wählen Sie GlobalProtect.
- Überprüfen Sie Ihre Gateways- und Agent-Einstellungen.
- Suchen Sie nach dem Kontrollkästchen „Accept cookie for authentication override“.
- Prüfen Sie, ob Ihr Cloud Authentication Service (CAS) deaktiviert ist. Wenn das Kästchen aktiviert und CAS ausgeschaltet ist, sind Sie wahrscheinlich gefährdet.
Patching und Schadensbegrenzung
Palo Alto Networks veröffentlichte das Advisory am 13. Mai 2026 und bestätigte die aktive Ausnutzung bis Ende des Monats. Die einzige wirksame Lösung ist die Installation der vom Hersteller bereitgestellten Patches. Da es sich um einen Logikfehler bei der Generierung und Validierung von Cookies handelt, ändert das Update grundlegend die Art und Weise, wie das System Sitzungen handhabt.
| Aktion | Ergebnis |
|---|---|
| Sicherheits-Patch anwenden | Behebt die Logik zur Umgehung der Authentifizierung. |
| Re-Authentifizierung | Erzwingt eine einmalige Anmeldung für alle GlobalProtect-Benutzer. |
| Prisma Access | Wird automatisch über den Standard-Wartungsplan aktualisiert. |
Das Einspielen des Patches erzwingt eine einmalige erneute Authentifizierung für alle Ihre Benutzer. Das ist zwar lästig, aber notwendig. Der Patch zwingt das System dazu, Authentifizierungs-Cookies mithilfe einer sichereren kryptografischen Methode neu zu generieren, wodurch bestehende, potenziell kompromittierte Sitzungen effektiv beendet werden.
Für Nutzer von Prisma Access gibt es gute Nachrichten: Palo Alto Networks führt die Updates automatisch durch. Behalten Sie einfach Ihre Admin-Konsole auf Wartungshinweise im Auge.
Das Gesamtbild
Der Übergang von einem theoretischen Fehler zu einer aktiv ausgenutzten Schwachstelle ändert alles. Angreifer nutzen kommerzielle Hosting-Anbieter, um ihre Bemühungen zu skalieren, was bedeutet, dass sie aggressiv und gut ausgestattet sind.
Sicherheitsteams müssen wachsam sein. Überprüfen Sie Ihre Protokolle auf ungewöhnliche Authentifizierungsmuster oder VPN-Verbindungen aus IP-Bereichen, die keinen Sinn ergeben. Da dieser Exploit den Anmeldebildschirm umgeht, werden Ihre standardmäßigen, auf Anmeldedaten basierenden Warnmeldungen möglicherweise nicht ausgelöst. Sie müssen nach erfolgreichen VPN-Sitzungen suchen, denen kein entsprechendes Anmeldeereignis vorausgeht – das ist Ihr entscheidender Hinweis.
Wie The Hacker News betonte, besteht die Gefahr darin, dass ein Angreifer, sobald er das Portal passiert hat, im Grunde als vertrauenswürdiger Benutzer gilt. Er kann Ihr internes Netzwerk scannen, sich seitlich bewegen und Schadsoftware einschleusen, ohne dass es jemand bemerkt.
Wenn Sie nicht sofort patchen können, deaktivieren Sie vorsichtshalber die Funktion „Accept cookie for authentication override“. Ihre Benutzer werden sich vielleicht darüber beschweren, dass sie sich häufiger anmelden müssen, aber das ist ein kleiner Preis für die Sicherheit Ihres Netzwerks, während Sie das Update vorbereiten. Bleiben Sie über das Sicherheits-Advisory-Portal von Palo Alto Networks auf dem Laufenden – die Situation ist dynamisch und weitere Anweisungen könnten folgen.