PAN-OS-Schwachstelle CVE-2026-0300 wird aktiv für Root-Zugriff und Spionage ausgenutzt

Zusammenfassung

Palo Alto Networks hat bekanntgegeben, dass Angreifer eine kürzlich offengelegte kritische Schwachstelle in der PAN-OS-Software bereits ab dem 9. April 2026 auszunutzen versuchten. Im Zentrum steht CVE-2026-0300 (CVSS-Wert: 9.3/8.7), eine Buffer-Overflow-Schwachstelle im Dienst des User-ID Authentication Portal von PAN-OS. Über speziell präparierte Pakete kann ein nicht authentifizierter Angreifer beliebigen Code mit Root-Rechten ausführen. In einem am Mittwoch veröffentlichten Advisory erklärte das auf Netzwerksicherheit spezialisierte Unternehmen, es habe Kenntnis von einer begrenzten Ausnutzung der Lücke. Die Aktivität wird unter der Bezeichnung CL-STA-1132 geführt, einem mutmaßlich staatlich gestützten Bedrohungscluster unbekannter Herkunft. Korrekturen sollen ab dem 13. Mai 2026 ausgeliefert werden. Bis dahin rät der Hersteller, den Zugriff auf das User-ID Authentication Portal auf vertrauenswürdige Zonen zu beschränken oder den Dienst, sofern nicht benötigt, vollständig zu deaktivieren. Nach Angaben von Palo Alto Networks Unit 42 nutzte der Angreifer CVE-2026-0300, um unauthentifizierte Remote Code Execution in PAN-OS zu erreichen, und konnte bei erfolgreicher Ausnutzung Shellcode in einen nginx-Worker-Prozess einschleusen.

Laut Palo Alto Networks Unit 42 beobachtete das Unternehmen ab dem 9. April 2026 zunächst erfolglose Ausnutzungsversuche gegen ein PAN-OS-Gerät. Eine Woche später gelang es den Angreifern, Remote Code Execution gegen die Appliance zu erzielen und Shellcode einzuschleusen.

Unmittelbar nach dem Erstzugriff bemühten sich die Angreifer, ihre Spuren zu verwischen: Sie löschten Kernel-Crash-Meldungen, entfernten nginx-Crash-Einträge und -Datensätze sowie Core-Dump-Dateien von Abstürzen.

Zu den anschließenden Aktivitäten zählte eine Enumeration des Active Directory. Am 29. April 2026 brachten die Angreifer gegen ein zweites Gerät zusätzliche Schadkomponenten ein, darunter EarthWorm und ReverseSocks5. Beide Werkzeuge wurden zuvor von verschiedenen Hackergruppen mit China-Bezug eingesetzt.

Unit 42 ordnet den Vorfall in einen größeren Trend ein: In den vergangenen fünf Jahren hätten staatlich gestützte Akteure mit Spionageinteresse ihre Bemühungen zunehmend auf Geräte am Netzwerkrand konzentriert – etwa Firewalls, Router, IoT-Geräte, Hypervisoren und VPN-Lösungen. Diese böten hochprivilegierten Zugang, verfügten aber häufig nicht über die umfassende Protokollierung und die Sicherheitsagenten klassischer Endgeräte.

Bemerkenswert sei nach Einschätzung von Unit 42 die Vorgehensweise der hinter CL-STA-1132 stehenden Angreifer: Sie setzten auf quelloffene Werkzeuge statt auf eigene Malware. Dadurch werde die signaturbasierte Erkennung erschwert und die Werkzeuge fügten sich nahtlos in die Umgebung ein. In Kombination mit einer disziplinierten Vorgehensweise aus zeitlich verteilten, interaktiven Sitzungen über mehrere Wochen sei die Aktivität bewusst unterhalb der Schwellenwerte gängiger automatisierter Alarmsysteme geblieben.

PAN-OS-Schwachstelle CVE-2026-0300 wird aktiv für Root-Zugriff und Spionage ausgenutzt

Ähnliche Artikel

Neueste Artikel