Die Anfälligkeit wurde als Buffer-Overflow im User-ID Authentication Portal (auch als Captive Portal bekannt) identifiziert. Sie ermöglicht es einem unbefugten Angreifer, speziell präparierte Pakete zu senden und damit beliebigen Code mit Root-Privilegien auszuführen. Dies bedeutet vollständige Kontrolle über die Firewall und damit potenzielle Kontrolle über das gesamte Netzwerk dahinter.
Palo Alto Networks bestätigte, dass die Schwachstelle bereits unter “limitierter Ausnutzung” steht – konkret zielten Angreifer auf Instanzen ab, bei denen das Portal öffentlich zugänglich war. Die Schweregrad-Einstufung variiert: Bei Internetzugriff liegt der CVSS-Score bei 9,3 (kritisch), bei Beschränkung auf vertrauenswürdige interne IPs immerhin noch bei 8,7.
Problematisch ist das fehlende Patch: Palo Alto Networks hat bestätigt, dass Fixes erst ab dem 13. Mai 2026 verfügbar sein werden. Bis dahin sind Administratoren auf Workarounds angewiesen. Das Unternehmen empfiehlt dringend, das User-ID Authentication Portal entweder auf vertrauenswürdige interne Netzwerke zu beschränken oder es komplett zu deaktivieren, falls nicht unbedingt notwendig.
Deutsche Unternehmen und Behörden sollten sofort handeln: IT-Sicherheitsteams müssen überprüfen, ob ihre Palo-Alto-Firewalls das betroffene Portal nutzen und wie es konfiguriert ist. Eine öffentliche Erreichbarkeit ist unter allen Umständen zu unterbinden. Für Organisationen, die auf das Portal angewiesen sind, sollte zumindest eine strikte Netzwerksegmentierung erfolgen – das Portal darf nicht aus dem Internet erreichbar sein.
Das BSI wird diese Entwicklung sicherlich im Auge behalten. Deutsche Organisationen sind gut beraten, eine Kontaktstelle bei ihrem Security-Dienstleister zu etablieren, um kontinuierlich auf Sicherheitsmeldungen reagieren zu können. Zögern ist keine Option, wenn es um eine aktiv ausgenutzte kritische Schwachstelle geht.