Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2026-0257 in ihren Katalog der exploitierten Sicherheitslücken aufgenommen und fordert Bundesbehörden auf, bis 1. Juni zu patchen. Palo Alto Networks selbst bestätigte am 17. Mai, dass begrenzte Exploitationsversuche auf ungepatchten Systemen beobachtet wurden.
Die Angriffe zeigen ein besorgniserregendes Muster: Rapid7 dokumentierte, dass Cyberkriminelle mit gefälschten Authentifizierungscookies arbeiteten, um sich als lokale Admin-Konten auszugeben. In der ersten Angriffswelle vom 17. Mai nutzten die Täter die Hosting-Plattform Vultr, in einer zweiten Welle am 21. Mai wechselten sie zu Dromatics Systems. Die Sicherheitsforscher beobachteten, dass in acht von zehn Fällen die forgierten Cookies akzeptiert wurden. In einigen Fällen erhielten Angreifer sogar VPN-IP-Zuweisungen, die ihnen direkten Zugang zu internen Netzwerken verschafften.
Die betroffene Schwachstelle betrifft GlobalProtect-Portale und -Gateways unter bestimmten Konfigurationen. Palo Alto Networks veröffentlichte Sicherheitsupdates für PAN-OS 12.1, 11.2, 11.1 und 10.2 sowie für Prisma Access 11.2.0 und 10.2.0.
Für deutsche Organisationen ist schnelles Handeln essentiell. Rapid7 hat einen Proof-of-Concept-Code und Indikatoren für Sicherheitsverletzungen (IoCs) veröffentlicht, mit denen Unternehmen ihre Systeme auf Anfälligkeit überprüfen können. IT-Verantwortliche sollten sofort prüfen, ob Palo Alto Networks-Appliances mit GlobalProtect in ihrer Infrastruktur eingesetzt werden, und diese vorrangig patchen.
Die schnelle Ausnutzung dieser Lücke unterstreicht, wie wichtig zügige Patch-Management-Prozesse sind. Unternehmen, die von dieser Lücke betroffen waren und Daten verloren gingen, müssen unter der DSGVO potenzielle Datenschutzverletzungen melden – sowohl an die zuständigen Aufsichtsbehörden als auch möglicherweise an betroffene Personen. Verstöße können mit Bußgeldern bis zu 4 Prozent des Jahresumsatzes geahndet werden.