Chinesisch geprägte Hackerkampagne nutzt Palo-Alto-Zero-Day in Firewalls aus

Zusammenfassung

Palo Alto Networks hat erste Details zur Ausnutzung einer kürzlich offengelegten Zero-Day-Schwachstelle in einigen seiner Firewalls veröffentlicht. In einem Advisory informierte das Unternehmen seine Kunden über CVE-2026-0300, eine Lücke im User-ID-Authentifizierungsportal der Firewall-Serien PA und VM. Der Fehler erlaubt nicht authentifizierte Codeausführung aus der Ferne mit Root-Rechten und wurde nach Angaben des Herstellers bereits als Zero-Day ausgenutzt. Patches sollen in zwei Schritten erscheinen; bis dahin stellt Palo Alto Networks Gegenmaßnahmen und Workarounds bereit, um eine Ausnutzung zu verhindern. Kurz nach der Offenlegung beschrieb das Unternehmen in einem Blogbeitrag die beobachteten Angriffe im Feld. Verantwortlich sei eine als CL-STA-1132 geführte, „wahrscheinlich staatlich geförderte" Gruppe. Das Sicherheitsunternehmen hat den Angriff nicht ausdrücklich einem bestimmten Land zugeschrieben, doch die vorgelegten Belege deuten auf China als Hauptverdächtigen. Die Indizien reichen von den verwendeten Werkzeugen über das Löschen von Protokollen bis hin zur gezielten Erkundung des Active Directory.

Laut dem Advisory betrifft CVE-2026-0300 das User-ID-Authentifizierungsportal der Firewall-Serien PA und VM. Die Schwachstelle ermöglicht eine nicht authentifizierte Remote-Codeausführung mit Root-Rechten und wurde nach Darstellung von Palo Alto Networks als Zero-Day ausgenutzt. Patches sind für den 13. und den 28. Mai vorgesehen.

Erste Ausnutzungsversuche der als CL-STA-1132 verfolgten Gruppe beobachtete das Unternehmen am 9. April, sie blieben zunächst erfolglos. Eine Woche später gelang die Ausnutzung: Die Angreifer erreichten Remote-Codeausführung und injizierten Shellcode in den Nginx-Worker-Prozess.

Unmittelbar nach der Kompromittierung räumten die Angreifer Spuren weg. Sie löschten laut Palo Alto Networks Kernel-Absturzmeldungen, entfernten Nginx-Absturzeinträge und beseitigten Core-Dump-Dateien, um die Erkennung zu erschweren.

Vier Tage später setzten die Angreifer mehrere Werkzeuge mit Root-Rechten ein und führten anschließend eine Active-Directory-Erkundung durch. Dabei nutzten sie die Dienstkonto-Anmeldedaten der Firewall, um Domain Root und DomainDnsZones ins Visier zu nehmen. Im Anschluss löschten sie Belege für eine ptrace-Injektion aus dem Audit-Protokoll sowie die SUID-Binärdatei zur Rechteausweitung.

Zum Einsatz kamen die quelloffenen Werkzeuge Earthworm und ReverseSocks5. Earthworm dient als Netzwerk-Tunneling-Werkzeug und ermöglicht einen verdeckten Kommunikationskanal, ReverseSocks5 erlaubt das Umgehen von Firewalls und NAT.

Eine ausdrückliche Zuschreibung zu einem bestimmten Land vermeidet Palo Alto Networks, doch die vorgelegten Belege deuten auf China. Earthworm und ReverseSocks5 wurden bislang überwiegend von chinesischen APT-Gruppen verwendet, darunter Volt Typhoon und APT41. Auch das Vernichten von Protokollen wird häufig bei Angriffen beobachtet, die chinesischen Akteuren zugeschrieben werden. Das gezielte Vorgehen gegen Active Directory gilt ebenfalls als typisch für chinesische Gruppen, wird aber auch von anderen staatlichen Hackern und Cyberkriminellen genutzt.

Nach Einschätzung von Palo Alto Networks setzten die Angreifer bewusst auf quelloffene Werkzeuge statt auf eigene Malware, um signaturbasierte Erkennung zu minimieren und sich nahtlos in die Umgebung einzufügen. In Kombination mit einem disziplinierten Vorgehen aus zeitlich verteilten, interaktiven Sitzungen über mehrere Wochen hinweg sei die Aktivität gezielt unterhalb der Schwellenwerte der meisten automatischen Alarmsysteme geblieben.

Chinesisch geprägte Hackerkampagne nutzt Palo-Alto-Zero-Day in Firewalls aus

Ähnliche Artikel

Neueste Artikel