VPN-Lücken, Palo

VPN-Lücken: Palo Alto und Check Point werden massiv ausgenutzt

16.06.2026 - 08:10:08 | boerse-global.de

Schwerwiegende VPN-Lücken bei Palo Alto und Check Point werden aktiv ausgenutzt. Die Qilin-Ransomware-Gruppe nutzt eine der Schwachstellen bereits für Erpressungsangriffe.

Sicherheitslücken in Palo Alto und Check Point: Aktive Angriffswellen
VPN-Lücken - A glowing digital padlock surrounded by flowing binary code, depicting a cybersecurity vulnerability in a dark, high-tech setting. 16.06.2026 - Bild: über boerse-global.de

Sicherheitsforscher und Behörden schlagen Alarm: Gleich mehrere schwerwiegende Lücken in Unternehmens-VPNs werden derzeit massiv ausgenutzt. Betroffen sind Systeme von Palo Alto Networks und Check Point – in einigen Fällen führten die Angriffe bereits zur Verbreitung von Ransomware.

Anzeige

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheits-Guide für Unternehmen jetzt kostenlos sichern

Angriffswelle auf Palo Alto GlobalProtect

Eine kritische Authentifizierungslücke in PAN-OS GlobalProtect (CVE-2026-0257) steht im Fokus unbekannter Angreifer. Der Fehler mit einem CVSS-Wert von 7,8 liegt in der sogenannten Authentication-Override-Cookie-Funktion. Angreifer können damit gültige Cookies fälschen – und erhalten so unberechtigten VPN-Zugang zu internen Netzwerken.

Die Schwachstelle wurde zwar bereits am 13. Mai 2026 veröffentlicht, doch schon vier Tage später registrierten Forscher die ersten aktiven Angriffe. Die Analysten von Unit 42 und Rapid7 beobachteten zwei separate Angriffswellen, die unter anderem Infrastruktur von Vultr und Dromatics Systems nutzten. Bis zum 9. Juni konnten die Experten zwar viele gezielte Angriffe identifizieren, jedoch nur wenige erfolgreiche VPN-Sitzungen. Eine laterale Bewegung innerhalb kompromittierter Netzwerke wurde bislang nicht festgestellt.

Die US-Cybersicherheitsbehörde CISA nahm die Lücke am 29. Mai in ihren Katalog bekannter Schwachstellen auf. Bundesbehörden mussten den Fehler bis zum 1. Juni beheben. Palo Alto Networks hat inzwischen Patches für mehrere Versionen veröffentlicht – darunter PAN-OS 10.2.7-h34, 11.1.4-h33, 11.2.4-h17 und 12.1.4-h6.

Check Point-Lücke als Einfallstor für Erpresser

Parallel dazu wird eine weitere schwerwiegende Schwachstelle in Check Point Remote Access VPN und Mobile Access aktiv ausgenutzt. Die als CVE-2026-50751 bekannte Lücke (CVSS 9,3) ermöglicht Angreifern den Aufbau von VPN-Verbindungen ohne Passwort – vorausgesetzt, das System nutzt IKEv1 und verzichtet auf Maschinenzertifikate.

Bereits am 7. Mai 2026 begannen die ersten Angriffe. In mindestens einem Fall nutzte die berüchtigte Qilin-Ransomware-Gruppe die Lücke als Einfallstor. CISA ergänzte die Schwachstelle am 8. Juni in ihre Warnliste. Sicherheitsexperten raten dringend, Logs bis Anfang Mai zurückzuverfolgen und nicht benötigte Legacy-Client-Unterstützung zu deaktivieren.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber Security Trends herunterladen

Bedrohungslage spitzt sich zu

Die VPN-Angriffe sind Teil einer größeren Welle. Der Microsoft-Patchday im Juni 2026 schloss insgesamt 206 Sicherheitslücken – 32 davon als kritisch eingestuft. Darunter befand sich auch eine potenziell wurmfähige Schwachstelle (CVE-2026-45657). Zudem soll die Hackergruppe ShinyHunters seit dem 27. Mai mehr als 100 Organisationen kompromittiert haben – durch eine Zero-Day-Lücke in Oracle PeopleSoft (CVE-2026-35273).

Was Unternehmen jetzt tun müssen

Sicherheitsexperten empfehlen ein mehrstufiges Vorgehen:

  • Sofort patchen: Die verfügbaren Updates für PAN-OS und Check Point sollten priorisiert installiert werden.
  • Konfiguration anpassen: Lässt sich das Patchen nicht sofort umsetzen, sollte die Authentication-Override-Funktion deaktiviert oder durch dedizierte Zertifikate abgesichert werden.
  • Logs prüfen: Unternehmen sollten gezielt nach verdächtigen IP-Adressen und hostnamen wie „GP-CLIENT" oder „DESKTOP-GP01" suchen.
  • Netzwerk segmentieren: Mikrosegmentierung und die Durchsetzung von Maschinenzertifikaten für alle VPN-Verbindungen bieten zusätzlichen Schutz.

Zwar gelang den Strafverfolgungsbehörden zuletzt ein Erfolg – die Zerschlagung des Kryptowährungs-Geldwäschedienstes AudiA6 in Georgien. Doch die anhaltenden Angriffe auf Unternehmensinfrastruktur zeigen: Der Kampf gegen Cyberkriminalität bleibt ein Wettlauf gegen die Zeit.

de | wissenschaft | 69550146 |