SchwachstellenHackerangriffeCyberkriminalität

Kritische PAN-OS-Schwachstelle: Staatliche Hacker nutzen Root-Zugriff für Spionage

Von CyberDeutsch Redaktion
Kritische PAN-OS-Schwachstelle: Staatliche Hacker nutzen Root-Zugriff für Spionage
Zusammenfassung

Eine kritische Sicherheitslücke in Palo Alto Networks PAN-OS-Firewalls wird derzeit aktiv von Angreifern ausgenutzt. Die Schwachstelle CVE-2026-0300 ermöglicht es unauthentifizierten Angreifern, beliebigen Code mit Root-Rechten auszuführen. Laut Palo Alto Networks wurden erste Exploitationsversuche bereits ab dem 9. April 2026 beobachtet, wenige Tage später gelang es den Angreifern, erfolgreich in betroffene Systeme einzudringen. Die Attacken werden einer vermuteten staatlich unterstützten Gruppe zugeordnet, die daraufhin Spionageaktivitäten durchführte, darunter Active-Directory-Abfragen und die Installation von Hacking-Tools wie EarthWorm und ReverseSocks5, welche typischerweise von chinesischen Hacker-Gruppen verwendet werden. Für deutsche Unternehmen, Behörden und kritische Infrastrukturen stellt dies eine erhebliche Bedrohung dar, da Palo Alto Firewalls weit verbreitet sind und häufig als zentrale Sicherheitselemente in Netzwerken eingesetzt werden. Besonders problematisch ist, dass die Angreifer ihre Spuren sorgfältig verwischten und Open-Source-Tools nutzten, um Erkennungssysteme zu umgehen. Bis zur Verfügbarkeit von Patches ab dem 13. Mai 2026 sollten Organisationen ihren Zugang zur User-ID Authentication Portal dringend einschränken oder deaktivieren.

Die Schwachstelle CVE-2026-0300 stellt eine ernsthafte Bedrohung dar: Sie ist ein Buffer-Overflow in der User-ID Authentication Portal des PAN-OS, das vor allem in Enterprise-Umgebungen als zentrale Sicherheitskomponente fungiert. Über speziell präparierte Netzwerk-Pakete können Angreifer ohne vorherige Authentifizierung Shellcode direkt in nginx-Worker-Prozesse injizieren und damit vollständige Kontrolle über das System erlangen.

Palo Alto Networks Unit 42 hat dokumentiert, dass eine vermutlich staatliche Hackergruppe, bezeichnet als CL-STA-1132, die Lücke bereits nutzt. Die ersten gescheiterten Exploits begannen am 9. April 2026, eine Woche später gelang der erfolgreiche Remote Code Execution. Die Angreifer handeln diszipliniert und technisch versiert: Sie löschen systematisch Crash-Kernel-Meldungen, Nginx-Einträge und Core-Dump-Dateien, um ihre Spuren zu verwischen.

Nach Erlangung des initialen Zugriffs führten die Täter Active-Directory-Enumerationen durch und deploiyten weitere Werkzeuge wie EarthWorm und ReverseSocks5 gegen weitere Netzwerk-Geräte. Diese Tools werden typischerweise von China-nahestehenden Hackergruppen eingesetzt. Die Angreifer setzen bewusst auf Open-Source-Tools statt propritetärer Malware, um Signatur-basierte Erkennungssysteme zu umgehen und die Behavioral-Schwellen von Alerting-Systemen nicht zu überschreiten.

Für deutsche Organisationen ist besonders bemerkenswert, dass solche Edge-Netzwerk-Geräte wie Firewalls oft als schwächer überwacht angesehen werden als Endpunkte — ein klassischer Blindspot. Palo Alto Networks empfiehlt dringend, den Zugriff auf die User-ID Authentication Portal sofort auf vertrauenswürdige Netzwerk-Zonen zu beschränken oder das Portal ganz zu deaktivieren, falls es nicht aktiv genutzt wird.

Die bisherige Untätigkeit bei der Patch-Veröffentlichung (erwartet ab 13. Mai 2026) unterstreicht die Notwendigkeit sofortiger Mitigationen. Deutsche Sicherheitsverantwortliche sollten ihre Palo-Alto-Infrastruktur unmittelbar überprüfen, abnormale Netzwerkaktivitäten auf den Geräten analysieren und bei Verdacht auf Kompromittierung das BSI und ggf. den BfDI informieren.

Ähnliche Artikel