SchwachstellenHackerangriffeCloud-Sicherheit

Palo Alto Networks warnt: Kritische Firewall-Lücke wird aktiv ausgenutzt

Von CyberDeutsch Redaktion
Palo Alto Networks warnt: Kritische Firewall-Lücke wird aktiv ausgenutzt
Zusammenfassung

Palo Alto Networks hat vor einer kritischen Sicherheitslücke in seinen Firewalls gewarnt, die bereits aktiv von Angreifern ausgenutzt wird. Die als CVE-2026-0300 katalogisierte Zero-Day-Schwachstelle befindet sich im User-ID Authentication Portal von PAN-OS und ermöglicht es unauthentifizierten Angreifern, durch einen Pufferüberlauf beliebigen Code mit Root-Rechten auf internetexponierten PA-Series und VM-Series Firewalls auszuführen. Das Unternehmen bestätigte bereits begrenzte Angriffsaktivitäten gegen öffentlich erreichbare Authentifizierungsportale. Sicherheitsforscher von Shadowserver haben über 5.800 verwundbare VM-Series Firewalls online erfasst, die meisten davon in Asien und Nordamerika. Für deutsche Unternehmen, Behörden und kritische Infrastrukturen stellt dies ein erhebliches Risiko dar, da viele Organisationen Palo Alto Networks-Produkte einsetzen. Besonders betroffen sind Institutionen, die ihre Authentifizierungsportale mit dem Internet verbunden haben. Bis ein Patch verfügbar ist, empfiehlt Palo Alto Networks dringend, den Zugriff auf vertrauenswürdige Netzwerke zu beschränken oder das Portal zu deaktivieren. Dies ist bereits die vierte Palo Alto Networks Zero-Day-Sicherheitslücke innerhalb weniger Monate, was auf ein systematisches Sicherheitsproblem hindeutet.

Die Sicherheitslücke CVE-2026-0300 basiert auf einem Pufferüberlauffehler in der User-ID Authentication Portal, einer Sicherheitsfunktion in PAN-OS, die Nutzer authentifiziert, deren Identitäten nicht automatisch durch die Firewall ermittelt werden können. Laut Palo Alto Networks wurden bereits begrenzte Exploitationsversuche gegen Internet-exponierte Portale beobachtet.

Die höchste Schweregrad-Einstufung unterstreicht die Dringlichkeit der Situation. Das Unternehmen empfiehlt Administratoren dringend, die Sicherheitsportaleinstellungen zu überprüfen — diese finden sich unter Device > User Identification > Authentication Portal Settings. Bis ein Patch zur Verfügung steht, sollten Organisationen den Zugriff auf die Authentication Portal auf vertrauenswürdige Zonen beschränken oder das Portal vollständig deaktivieren, falls möglich. Kunden, die bewährte Sicherheitspraktiken befolgen und sensitive Portale bereits auf interne Netzwerke begrenzen, befinden sich in einer deutlich besseren Position.

Diese Warnung reiht sich in eine besorgniserregende Serie von PAN-OS-Sicherheitslücken ein. Im November 2024 offenbarte Shadowserver, dass Tausende Firewalls durch Attacken kompromittiert wurden, die zwei Zero-Days ketteten. Im Dezember folgte eine DoS-Schwachstelle, die PA-, VM- und CN-Series Firewalls zum Neustart zwingt und Schutzmaßnahmen deaktiviert. Im Februar 2025 exploitierten Angreifer erneut drei zusätzliche PAN-OS-Flaws gegen Internet-exponierte Management-Interfaces.

Das wiederholte Muster zielt auf ein Kernproblem: Firewalls sind attraktive Ziele für Cyberkriminelle, da ihre Kompromittierung den gesamten dahinterliegenden Netzwerkverkehr offenlegt. Mit über 70.000 Kunden weltweit — einschließlich 90 Prozent der Top-10-Fortune-Unternehmen und der größten US-Banken — ist das Angriffsgebiet erheblich.

Für deutsche Organisationen bedeutet dies konkret: Das BSI sollte diese Entwicklung eng monitoren. Betroffene Unternehmen müssen zeitnah handeln und die Exposition ihrer Systeme reduzieren. Bei Datenschutzverletzungen drohen DSGVO-Bußgelder bis zu vier Prozent des Jahresumsatzes sowie obligatorische Meldungen an Datenschutzaufsichtsbehörden und betroffene Personen.

Ähnliche Artikel