Staatsnahe Angreifer nutzen PAN-OS-Zero-Day von Palo Alto Networks seit fast einem Monat aus

Zusammenfassung

Palo Alto Networks warnt seine Kunden vor einer kritischen Zero-Day-Schwachstelle in der Firewall-Software PAN-OS, die mutmaßlich staatlich unterstützte Angreifer bereits seit fast einem Monat ausnutzen. Die unter der Kennung CVE-2026-0300 geführte Lücke steckt im User-ID Authentication Portal von PAN-OS, auch als Captive Portal bekannt, und geht auf einen Pufferüberlauf zurück. Sie erlaubt nicht authentifizierten Angreifern, beliebigen Code mit Root-Rechten auf aus dem Internet erreichbaren Firewalls der PA-Serie und VM-Serie auszuführen. Nach Angaben des Herstellers verfolgt das hauseigene Forschungsteam Unit 42 die Aktivität unter der Bezeichnung CL-STA-1132 und ordnet sie wahrscheinlich einer staatlich unterstützten Bedrohungsgruppe zu. Bislang sei nur eine begrenzte Ausnutzung bekannt. Patches stehen noch aus: Die ersten sollen laut Palo Alto Networks am kommenden Mittwoch, dem 13. Mai, verfügbar werden. Auch die US-Behörde CISA hat reagiert und die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Bundesbehörden wurden angewiesen, betroffene Firewalls abzusichern.

Nach Darstellung von Palo Alto Networks begannen die Angriffe Anfang April. Am 9. April 2026 habe es zunächst erfolglose Ausnutzungsversuche gegen ein PAN-OS-Gerät gegeben. Eine Woche später gelang den Angreifern die nicht authentifizierte Codeausführung: Sie schleusten Shellcode ein und übernahmen das Gerät.

Unmittelbar nach der Kompromittierung verwischten die Täter laut Hersteller ihre Spuren. Sie löschten Kernel-Absturzmeldungen, entfernten Crash-Einträge des Webservers nginx sowie zugehörige Crash-Aufzeichnungen und beseitigten Core-Dump-Dateien, um eine Entdeckung zu erschweren.

Im Anschluss installierten die Angreifer die quelloffenen Tunneling-Werkzeuge Earthworm und ReverseSocks5. Earthworm dient dazu, verdeckte Kommunikation über abgeschottete Netzwerke aufzubauen, während ReverseSocks5 durch eine ausgehende Verbindung vom Zielsystem zu einem Steuerungsserver NAT und Firewalls umgeht und SOCKS-v5-Proxy-Tunnel ermöglicht. Earthworm kam nach Angaben von Palo Alto Networks bereits bei Angriffen zum Einsatz, die den chinesischsprachigen Gruppen CL-STA-0046, Volt Typhoon, UAT-8337 und APT41 zugerechnet werden.

Der Internet-Beobachtungsdienst Shadowserver zählt derzeit mehr als 5.400 aus dem Internet erreichbare PAN-OS-Firewalls der VM-Serie, die meisten davon in Asien (2.466) und Nordamerika (1.998).

Gegenüber BleepingComputer erklärte Palo Alto Networks, dass Cloud NGFW und Panorama-Appliances nicht betroffen seien. An den Patches werde noch gearbeitet; die ersten sollen am kommenden Mittwoch, dem 13. Mai, ausgeliefert werden.

Bis dahin rät der Hersteller dringend, den Zugriff auf das User-ID Authentication Portal auf vertrauenswürdige Zonen zu beschränken oder das Portal andernfalls zu deaktivieren, um das Risiko zu mindern. Ob eine Firewall den verwundbaren Dienst nutzt, lässt sich über die Einstellungsseite des Authentication Portals prüfen, erreichbar unter Device > User Identification > Authentication Portal Settings.

Auch die US-Cybersicherheitsbehörde CISA nahm CVE-2026-0300 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und verpflichtete die zivilen Bundesbehörden, anfällige Firewalls bis Samstag um Mitternacht, den 9. Mai, abzusichern.

Die Angriffe reihen sich in einen größeren Trend ein, bei dem Angreifergruppen gezielt Netzwerk-Randgeräte wie Firewalls, Hypervisoren, Router und VPN-Software ins Visier nehmen, da diesen häufig die Protokollierung und Sicherheitssoftware fehlt, die Endgeräte schützt. Bereits im Februar hatte CISA mit der Binding Operational Directive 26-02 angeordnet, dass US-Behörden Randgeräte ohne Sicherheitsupdates entfernen müssen.

Staatsnahe Angreifer nutzen PAN-OS-Zero-Day von Palo Alto Networks seit fast einem Monat aus

Ähnliche Artikel

Neueste Artikel