Angriffe auf Palo Alto Networks PAN-OS GlobalProtect

Eine Sicherheitslücke betrifft das PAN-OS-Betriebssystem von Palo Alto Networks. Sie ermöglicht Angreifern die Umgehung von Sicherheitsmaßnahmen – und wird inzwischen in freier Wildbahn angegriffen.

Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA aktuell. Dort finden sich keine weiteren Hinweise außer der Schwachstellennummer CVE-2026-0257. Die Sicherheitslücke hat Palo Alto Mitte Mai gemeldet und den Eintrag zum Wochenende aktualisiert. Demnach können Angreifer im GlobalProtect-Portal und -Gateway von PAN-OS die Authentifizierung umgehen, somit Sicherheitsmaßnahmen umgehen und unbefugt VPN-Verbindungen aufbauen (CVE-2026-0257, CVSS4 7.8, Risiko „hoch“). Palo Alto ordnet die Dringlichkeit jedoch als „höchste“ ein.

Nicht alle Konfigurationen sind verwundbar. Im GlobalProtect-Portal oder -Gateway muss dafür die Option „Authentication override Cookies“ aktiviert sein. Palo Alto erwähnt nicht, ob diese Option standardmäßig aktiv ist, sondern empfiehlt IT-Verantwortlichen, die Einstellung zu prüfen. Die Aktualisierung des Eintrags umfasst nun den Hinweis, dass Palo Alto Networks von begrenzten Angriffsversuchen auf ungepatchte PAN-OS-Geräte mitbekommen habe. Betroffen sind die Versionszweige PAN-OS 10.2, 11.1, 11.2 und 12.1 sowie Prisma Access 10.2 und 11.2; für diverse Unterversionen stellt Palo Alto Aktualisierungen bereit.

Details zu Angriffsversuchen

In einem Blogbeitrag liefert Rapid7 jedoch eine Analyse von beobachteten Angriffen. Demnach haben die IT-Forscher des IT-Sicherheitsunternehmens bereits ab dem 17. Mai erste Angriffsversuche auf die Schwachstelle beobachtet. Sie haben eine Alarmmeldung „Suspicious VPN Authentication – Local Account Logon via Generic Non-Human Identity“ erhalten und untersucht. Bei mehreren betroffenen Kunden war als Gemeinsamkeit feststellbar, dass der Cloud Authentication Service (CAS) deaktiviert sowie die Authentication override Cookies aktiviert waren. Eine zweite Angriffswelle fand am 21. Mai statt, die Rapid7 denselben Angreifern zuordnet wie die erste Welle, basierend auf beobachteten Host-IDs. Die zweite Angriffswelle führte zu VPN-Zugriffen mit IP-Adressvergabe und in der Folge Zugriffen auf interne Netzwerke. Interessierte finden im Blogbeitrag tiefergehende Informationen sowie Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC).

IT-Verantwortliche sollten zügig die verfügbaren Updates installieren und gegebenenfalls ihre Systeme auf die IOCs abprüfen. Lücken in den Geräten des Netzwerkausrüsters Palo Alto sind oft interessant für Cyberkriminelle, da sie in der Regel Zugang zu Netzwerken ermöglichen. Etwa Anfang Mai haben Angreifer eine andere PAN-OS-Lücke attackiert. Die Updates zum Schließen des Sicherheitslecks standen noch aus.

(dmk)