SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Sicherheitslücke in Palo Alto GlobalProtect: VPN-Authentifizierung wird aktiv ausgenutzt

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Palo Alto GlobalProtect: VPN-Authentifizierung wird aktiv ausgenutzt
Zusammenfassung

Eine kritische Sicherheitslücke in Palo Alto Networks' GlobalProtect-VPN-Software wird derzeit aktiv von Hackern ausgenutzt. Die Schwachstelle CVE-2026-0257 ermöglicht es Angreifern, die Authentifizierungsmechanismen zu umgehen und unbefugte VPN-Verbindungen zu etablieren. Palo Alto Networks hatte die Lücke Anfang des Monats geschlossen, doch seit Mai beobachtet das Sicherheitsunternehmen Rapid7 vermehrt Exploitierungsversuche gegen ungepatched Systeme. Die Attacken begannen am 17. Mai und stammen von verschiedenen Infrastrukturen, darunter Vultr und Dromatics Systems. Angreifer erstellen dabei gefälschte Authentifizierungs-Override-Cookies, um sich als lokale Administrator Zugriffe zu verschaffen und in interne Netzwerke einzudringen. Obwohl Palo Alto die Schwachstelle zunächst als mittelschwer einstufte, wurde die Bewertung auf „Hoch" erhöht, nachdem echte Exploitierungen in der Praxis dokumentiert wurden. Für deutsche Unternehmen und Behörden, die auf GlobalProtect-VPN-Lösungen setzen, ist das ein kritisches Sicherheitsrisiko. Die Behörde CISA hat die Lücke in ihren Katalog exploitierter Schwachstellen aufgenommen und fordert Bundesbehörden zur Behebung bis 1. Juni 2026 auf.

Palo Alto Networks gab bekannt, dass die Sicherheitslücke CVE-2026-0257 in GlobalProtect-Portalen und Gateways von Angreifern aktiv ausgenutzt wird. Die Verwundbarkeit erlaubt es, Sicherheitsbeschränkungen zu umgehen und unauthorized VPN-Verbindungen herzustellen – ein direkter Zugang zu internen Netzwerken ohne legitimale Anmeldedaten.

Initial als Medium-Severity eingestuft, wurde die Lücke nur wegen spezifischer Konfigurationsvoraussetzungen nicht höher bewertet: Authentifizierungs-Override-Cookies mussten aktiviert sein. Doch die Realität zeigte schnell, dass diese Voraussetzung weit verbreitet ist. Rapid7 MDR dokumentierte erste Exploitversuche ab dem 17. Mai 2026 und identifizierte erfolgreiche Einbrüche bei zahlreichen Kunden. Am 21. Mai kam es zu weiteren Angriffsszenarien. Damit erhöhte Palo Alto die Bedrohungsstufe auf High.

Die technische Schwachstelle liegt in der Validierung dieser Authentifizierungscookies: Das System entschlüsselt sie mit einem privaten Schlüssel, vertraut aber dem Inhalt, ohne Signatur-Verifizierung durchzuführen. Wenn das gleiche Zertifikat sowohl für HTTPS als auch für Override-Cookies verwendet wird, können Angreifer den Public Key über HTTPS auslesen und forged Cookies erstellen, die das System akzeptiert.

Rapid7 entwickelte einen Proof-of-Concept, der zeigt, wie Angreifer die öffentlichen Zertifikate auslesen, beliebige Benutzer-Cookies fälschen und sich authentifizieren – ohne ein Passwort zu kennen. In Tests funktionierte dies gegen ungepatschte Gateways zuverlässig.

Bisherige Angriffsversuche kamen vom Vultr-Netzwerk und von Dromatics Systems. Während Angreifer in einigen Fällen tatsächlich VPN-Zugang erhielten, gelang ihnen eine vollständige Session oft nicht. Dennoch: Die bloße Möglichkeit ist alarmierend genug.

Zur Abhilfe müssen Administratoren sofort die neuesten Patches einspielen. Alternativ lässt sich das Override-Feature deaktivieren oder ein separates Zertifikat dafür nutzen. CISA zwingt US-Bundesbehörden zur Behebung bis 1. Juni – deutsche Unternehmen sollten nicht weniger eilen. Ungepatschte Systeme könnten DSGVO-relevante Datenpannen verursachen und zu Bußgeldern bis zu 4 Prozent des Jahresumsatzes führen.

Ähnliche Artikel