Palo Alto Networks: Ungepatchte Zero-Day-Lücke im PAN-OS-Authentifizierungsportal wird ausgenutzt

Die Schwachstelle CVE-2026-0300 steckt im User-ID Authentication Portal von PAN-OS, das auch unter dem Namen Captive Portal bekannt ist. Diese Funktion authentifiziert Nutzer, deren Identität die Firewall nicht automatisch zuordnen kann. Ein zugrunde liegender Buffer Overflow erlaubt es nicht authentifizierten Angreifern, über speziell gestaltete Pakete beliebigen Code mit Root-Rechten auf den betroffenen Geräten auszuführen. Verwundbar sind aus dem Internet erreichbare Firewalls der PA-Serie und der VM-Serie.

In einer am Mittwoch veröffentlichten Sicherheitsmeldung erklärte Palo Alto Networks, bislang sei nur eine begrenzte Ausnutzung beobachtet worden. Diese richte sich gegen User-ID Authentication Portals, die nicht vertrauenswürdigen IP-Adressen oder dem öffentlichen Internet ausgesetzt sind. Kunden, die gängige Sicherheitspraktiken befolgten und sensible Portale auf vertrauenswürdige interne Netzwerke beschränkten, seien einem deutlich geringeren Risiko ausgesetzt.

Der Internet-Beobachtungsdienst Shadowserver verfolgt derzeit mehr als 5.800 online erreichbare PAN-OS-Firewalls der VM-Serie. Die meisten davon befinden sich in Asien (2.466) und Nordamerika (1.998).

Palo Alto Networks hat die Lücke mit der höchstmöglichen Schwere bewertet. Administratoren können auf der Seite „User-ID Authentication Portal Settings" prüfen, ob ihre Firewall den verwundbaren Dienst nutzt. Der Pfad lautet Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal.

Da ein Patch noch in Arbeit ist, empfiehlt das Unternehmen dringend, den Zugriff auf das Portal ausschließlich auf vertrauenswürdige Zonen zu beschränken oder das Portal zu deaktivieren, falls dies nicht möglich ist.

PAN-OS-Firewalls geraten häufig ins Visier von Angreifern, oft über Zero-Day-Schwachstellen. So berichtete Shadowserver im November 2024, dass Tausende Firewalls kompromittiert worden seien – wobei das Unternehmen betonte, die Angriffe hätten nur „eine sehr geringe Zahl" betroffen. Dabei wurden zwei PAN-OS-Zero-Days verkettet. Einen Monat später warnte Palo Alto Networks vor der Ausnutzung einer DoS-Schwachstelle gegen Firewalls der PA-, VM- und CN-Serie, die diese zum Neustart und zum Abschalten der Schutzfunktionen zwang. Im Februar gingen Angreifer dann dazu über, drei weitere PAN-OS-Schwachstellen auszunutzen, um Firewalls mit über das Internet erreichbaren Management-Schnittstellen zu kompromittieren.

Nach eigenen Angaben werden die Produkte und Dienste von Palo Alto Networks von mehr als 70.000 Kunden weltweit eingesetzt, darunter 90 Prozent der Fortune-10-Unternehmen und die meisten der größten US-Banken.