PAN-OS-Lücke CVE-2026-0257: CISA ordnet sofortiges Patchen an

Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden angewiesen, eine kritische Sicherheitslücke in Palo Alto Networks' Firewall-Software PAN-OS umgehend zu schließen. Die Schwachstelle mit der Kennung CVE-2026-0257 ermöglicht Angreifern, sich als lokale Administratoren auszugeben und komplette Firmennetzwerke zu kompromittieren.

Während staatliche Behörden unter Hochdruck Lücken in der Infrastruktur schließen, rücken auch private Endgeräte immer stärker ins Visier von Hackern. Dieser kostenlose Ratgeber zeigt Ihnen 5 sofort umsetzbare Schutzmaßnahmen, um Ihr Smartphone gegen digitale Angriffe abzusichern. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt gratis sichern

Am 29. Mai wurde der Fehler in den Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen – mit einer Patchnachfrist bis zum 1. Juni. Das ist ungewöhnlich knapp und zeigt die Dringlichkeit.

Gefälschte VPN-Cookies als Einfallstor

Die Sicherheitslücke steckt im GlobalProtect-Portal und -Gateway von PAN-OS. Das Problem: Die Software prüft nach der Entschlüsselung von Authentifizierungs-Cookies nicht, ob diese auch wirklich gültig sind. Angreifer können sogenannte „Authentication Override"-Cookies fälschen – und zwar mit öffentlichen Schlüsseln aus HTTPS-Zertifikaten.

Das Sicherheitsunternehmen Rapid7 bestätigt: Ein Angreifer kann sich damit als lokaler Administrator anmelden. In beobachteten Fällen wies das System dem Angreifer sogar eine echte VPN-IP-Adresse zu – der komplette Netzwerkzugriff war frei.

Die Bewertung des Risikos wurde nach oben korrigiert: Lag der CVSS-Score zunächst bei 7,8, stufte man ihn später auf 9,1 hoch – in manchen Konfigurationen sogar als kritisch.

Zwei Angriffswellen binnen weniger Tage

Die aktive Ausnutzung begann bereits am 17. Mai – nur vier Tage, nachdem Palo Alto Networks am 13. Mai einen ersten Patch veröffentlicht hatte. Sicherheitsforscher identifizierten zwei Angriffswellen:

• Welle 1 (18. Mai): Die Täter nutzten die Infrastruktur von Vultr und griffen mehrere Organisationen an.
• Welle 2 (21. Mai): Der gleiche Akteur wechselte zu Dromatics Systems. Die Erfolgsquote für vollständige VPN-Sitzungen stieg.

Rapid7 untersuchte zehn betroffene Kunden: In acht Fällen akzeptierte das System die gefälschten Cookies. Zwar führte nicht jeder Versuch zu einer vollständigen VPN-Sitzung, doch die administrative Authentifizierung gelang durchgängig. Bislang wurde keine laterale Bewegung innerhalb der Netzwerke beobachtet – die Gefahr bleibt aber hoch.

Professionelle Hackerangriffe nutzen oft Schwachstellen aus, die Nutzer im Alltag kaum bemerken, etwa bei der Verwendung von Banking-Apps oder WhatsApp. IT-Experten empfehlen daher diese 5 zentralen Sicherheitsvorkehrungen, um die Kontrolle über Ihre persönlichen Daten zu behalten. Gratis-PDF: So schützen Sie Ihr Smartphone vor Hacker-Angriffen

Welche Systeme betroffen sind und was jetzt zu tun ist

Die Schwachstelle betrifft mehrere PAN-OS-Versionen: 10.2, 11.1, 11.2 und 12.1 sowie den Cloud-Dienst Prisma Access.

Palo Alto Networks und die CISA empfehlen:

1. Sofort Patchen – die verfügbaren Updates einspielen
2. „Authentication Override" deaktivieren – falls Patchen nicht sofort möglich
3. Dedizierte Zertifikate verwenden – kein wiederverwendetes Zertifikat für die Cookie-Verschlüsselung

Sicherheitsforscher haben zudem Proof-of-Concept-Code und Indikatoren für Kompromittierung (IoCs) veröffentlicht. IT-Teams sollten ihre Logs dringend auf unautorisierte lokale Admin-Logins oder ungewöhnliche Hostname-Aktivitäten prüfen.

Für Unternehmen in Deutschland, die Palo-Alto-Firewalls einsetzen, gilt: Die Angreifer sind aktiv, die Methode ist dokumentiert – und der Patch liegt seit Wochen bereit. Wer jetzt nicht handelt, spielt mit dem Feuer.

de | wissenschaft | 69468665 |