Die Schwachstelle CVE-2026-0257 ist ein Authentifizierungs-Bypass, der spezifisch die GlobalProtect-Portal und -Gateway-Komponenten von PAN-OS betrifft. Die Lücke tritt auf, wenn Authentifizierungs-Override-Cookies aktiviert sind und eine bestimmte Zertifikatskonfiguration vorliegt. Angreifer können diese Kombination ausnutzen, um VPN-Verbindungen ohne gültige Benutzeranmeldedaten zu etablieren.
Das Cybersecurity-Unternehmen Rapid7 hat dokumentiert, dass erfolgreiche Exploits seit Mitte Mai 2026 stattfinden. Die frühesten Angriffe wurden am 17. Mai registriert, gefolgt von einer zweiten Welle am 21. Mai. Beide Angriffswellen werden demselben Threat-Actor zugeordnet. In mindestens zwei Fällen gelang es den Angreifern, nach erfolgreicher Cookie-Authentifizierung VPN-IP-Adressen zu erhalten und dadurch Zugriff auf interne Netzwerke zu erlangen.
Für deutsche Organisationen stellt dies ein erhebliches Risiko dar, zumal VPN-Gateways häufig kritische Sicherheitskomponenten sind. Ein erfolgreiches Authentication-Bypass auf dieser Ebene kann Angreifern direkten Zugang zum Firmennetzwerk gewähren und nachgelagerte Kompromittierungen ermöglichen. Unternehmen müssen hier mit erhöhter Vigilanz reagieren.
Palo Alto Networks empfiehlt zwei Sofortmaßnahmen als temporäre Mitigationen: Entweder das Authentication-Override-Feature deaktivieren oder ein neues Zertifikat ausschließlich für dieses Feature generieren. Die dauerhafte Lösung besteht jedoch im sofortigen Einspielen von Herstellerpatchs. Rapid7 ruft betroffene Organisationen zu “dringender” Aktualisierung auf.
Dieser Vorfall zeigt erneut die kritische Rolle von Edge-Security-Systemen. Ein ähnliches Exploitationsszenario betraf kürzlich die FortiClient Endpoint Management Server mit CVE-2026-35616, bei der Credential-Stealing-Malware verbreitet wurde. Für Unternehmen mit deutschen Datenschutzverpflichtungen ist ein Sicherheitsvorfall dieser Kategorie ein meldepflichtiges Ereignis gemäß DSGVO, das dem Bundesdatenschutzbeauftragten (BfDI) angezeigt werden muss.