SchwachstellenHackerangriffeCyberkriminalität

Palo Alto Networks: Kritische Firewall-Lücke von mutmaßlich chinesischen Hackern ausgenutzt

Von CyberDeutsch Redaktion
Palo Alto Networks: Kritische Firewall-Lücke von mutmaßlich chinesischen Hackern ausgenutzt
Zusammenfassung

# Eine kritische Zero-Day-Lücke in Palo Alto Firewalls wird aktiv ausgenutzt Palo Alto Networks hat eine schwerwiegende Sicherheitslücke in seinen PA- und VM-Serie Firewalls offengelegt, die bereits von einer „wahrscheinlich staatlich unterstützten" Hackergruppe ausgenutzt wird. Die als CVE-2026-0300 katalogisierte Schwachstelle ermöglicht unauthentifizierten Fernzugriff mit Root-Privilegien auf das User-ID Authentication Portal. Die Attacken begannen bereits Mitte April und zeigen charakteristische Merkmale chinesischer staatlicher Hacker-Gruppen wie Volt Typhoon und APT41. Die Angreifer setzten auf Open-Source-Tools wie Earthworm und ReverseSocks5, führten umfangreiche Active-Directory-Enumerationen durch und löschten systematisch Protokolle zur Verschleierung ihrer Aktivitäten. Patches sind für Mai 13 und 28 geplant. Für deutsche Unternehmen und Behörden mit Palo Alto Infrastruktur ist dies von erheblicher Bedeutung: Viele kritische Organisationen im In- und Ausland nutzen diese Firewalls als zentrale Sicherheitskomponenten. Eine erfolgreiche Kompromittierung könnte Angreifern tiefgreifenden Netzwerkzugang und Lateralbewegungen ermöglichen. Bis zur Verfügbarkeit von Patches sollten Schutzmaßnahmen und Workarounds von Palo Alto sofort implementiert werden.

Palo Alto Networks hat am 6. Mai eine Sicherheitswarnung zu CVE-2026-0300 veröffentlicht, einer Sicherheitslücke, die unauthentifizierten Remote Code Execution mit höchsten Systemrechten ermöglicht. Die Schwachstelle betrifft das User-ID Authentication Portal in PA- und VM-Serie-Firewalls – häufig zentrale Sicherheitskomponenten in Unternehmensnetzwerken.

Nach Angaben von Palo Alto wurde die Lücke bereits als Zero-Day aktiv ausgenutzt. Eine “wahrscheinlich staatlich unterstützte” Hackergruppe, von Palo Alto als CL-STA-1132 bezeichnet, steht hinter den Angriffen. Erste Exploitationsversuche wurden am 9. April beobachtet und scheiterten zunächst. Eine Woche später gelang es den Angreifern jedoch, Remote Code Execution auszuführen und Shellcode in den Nginx-Worker-Prozess einzuschleusen.

Die operative Vorgehensweise zeigt erhebliche technische Raffinesse: Nach der Kompromittierung führten die Angreifer sofort Spuren zu verwischen durch. Sie löschten Crash-Kernel-Meldungen, Nginx-Einträge und Crash-Dumps – typische Taktiken zur Vermeidung von Intrusion-Detection. Vier Tage später deploierten sie weitere Tools mit Root-Rechten und führten Active Directory-Enumeration durch, um Domain-Controller und DNS-Zonen zu identifizieren.

Die Wahl der verwendeten Tools liefert starke Hinweise auf die Herkunft: Die Angreifer setzten auf Open-Source-Werkzeuge wie Earthworm und ReverseSocks5. Earthworm ist ein Netzwerk-Tunneling-Tool für verdeckte Kommunikation, ReverseSocks5 ermöglicht Firewall-Umgehung und NAT-Traversal. Beide Tools werden überwiegend von chinesischen APT-Gruppen wie Volt Typhoon und APT41 eingesetzt.

Weitere Indikatoren für chinesische Staatshacker: die systematische Log-Vernichtung, die Active Directory-Zielorientierung und die disziplinierten Operationen über mehrere Wochen mit intermittenten interaktiven Sessions – ein Muster, das unter automatisierte Anomalieerkennung fällt. Palo Alto vermerkt, dass dieser operative Stil gezielt unter Erkennungsschwellen agiert.

Sicherheitspatches werden für den 13. Mai und 28. Mai erwartet. Bis dahin empfiehlt Palo Alto Mitigationen und Workarounds. Für deutsche Organisationen ist eine schnelle Patching-Priorisierung essentiell – solche Firewalls schützen typischerweise Kern-Infrastrukturen, deren Kompromittierung katastrophale Folgen hat.

Ähnliche Artikel