SchwachstellenHackerangriffeCloud-Sicherheit

Palo Alto Networks Firewall: Kritische Zero-Day-Lücke seit Wochen unter Beschuss

Von CyberDeutsch Redaktion
Palo Alto Networks Firewall: Kritische Zero-Day-Lücke seit Wochen unter Beschuss
Zusammenfassung

Eine kritische Sicherheitslücke in den Firewalls von Palo Alto Networks wird seit knapp einem Monat von vermutlich staatlich unterstützten Hackern ausgenutzt. Die als CVE-2026-0300 katalogisierte Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code mit Root-Privilegien auf Internet-erreichbaren PA-Series und VM-Series Firewalls auszuführen. Die Lücke befindet sich im User-ID Authentication Portal und resultiert aus einem Buffer-Overflow-Fehler. Sicherheitsexperten von Palo Alto Networks haben bereits eine Kampagne der Hacker-Gruppe CL-STA-1132 identifiziert, die seit April 2026 systematisch Firewalls kompromittiert. Nach erfolgreichen Angriffen deployen die Angreifer Netzwerk-Tunnel-Tools wie Earthworm und ReverseSocks5, um versteckte Kommunikationskanäle durch Netzwerke zu etablieren. Für deutsche Unternehmen, Behörden und Internet Service Provider stellt dies ein erhebliches Risiko dar, da die USA bereits über 5.400 exponierte PAN-OS Firewalls weltweit dokumentiert haben. Die US-Behörde CISA hat die Schwachstelle in ihren Katalog aktiv ausgenutzer Sicherheitslücken aufgenommen und US-Regierungsagenturen aufgefordert, sofort Abhilfemaßnahmen zu implementieren. Patches werden erst Mitte Mai erwartet.

Die Bedrohung ist konkret und akut. Laut Palo Alto Networks’ Threat Intelligence Unit 42 begannen erste Exploitations-Versuche am 9. April 2026 gegen ein PAN-OS-Gerät. Eine Woche später gelang es den Angreifern, Remote Code Execution zu erzielen und Shellcode einzuschleusen. Danach räumten die Täter ihre Spuren auf, indem sie Crash-Kernel-Meldungen löschten und Nginx-Crash-Logs entfernten – ein klassisches Vorgehen zur Verschleierung.

Die technische Ursache liegt in einem Buffer Overflow im Captive Portal. Nachdem die Firewalls kompromittiert waren, deponierten die Angreifer zwei Open-Source-Tools: Earthworm und ReverseSocks5. Diese ermöglichen es, SOCKS5-Server einzurichten und Proxy-Tunnel aufzubauen, um Netzwerk-Beschränkungen zu umgehen und NAT-Firewall-Sperren zu überwinden. Earthworm wurde bereits in früheren Operationen von chinesisch-sprechenden Gruppen wie Volt Typhoon und APT41 eingesetzt – ein Indiz für das Threat-Actor-Profil.

Der Umfang der Exposition ist beachtlich: Das Internet Threat-Tracking-Unternehmen Shadowserver identifizierte über 5.400 Internet-exponierte PAN-OS VM-Series Firewalls weltweit, die Mehrheit in Asien (2.466) und Nordamerika (1.998). Für europäische und deutsche Installationen sollten Zahlen folgen.

Palo Alto kündigte an, dass Patches ab Mittwoch, 13. Mai verfügbar sein werden. Cloud NGFW und Panorama-Appliances sind nicht betroffen. Bis zum Patch empfiehlt der Hersteller dringend, das Authentication Portal auf vertrauenswürdige Zonen zu beschränken oder zu deaktivieren. Administratoren können schnell überprüfen, ob ihr System anfällig ist: Device > User Identification > Authentication Portal Settings.

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) listete CVE-2026-0300 sofort in ihrem Katalog aktiv ausgebeuteter Schwachstellen auf und ordnete US-Behörden an, vulnerable Firewalls bis Samstag, 9. Mai abzusichern. Dies unterstreicht die Kritikalität.

Dieser Angriff illustriert einen beunruhigenden Trend: Threat Groups konzentrieren sich auf Edge-Netzwerk-Geräte wie Firewalls, da diese oft weniger instrumentiert und überwacht sind als klassische Endpoints. Für deutsche Organisationen ist dies ein Weckruf, Firewall-Sicherheit und Patch-Management ernst zu nehmen.

Ähnliche Artikel