SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Authentifizierungslücke in Palo Alto Networks: VPN-Zugang ohne Passwort gefährdet deutsche Unternehmen

Von CyberDeutsch Redaktion
Kritische Authentifizierungslücke in Palo Alto Networks: VPN-Zugang ohne Passwort gefährdet deutsche Unternehmen
Zusammenfassung

Eine neue kritische Sicherheitslücke in Palo Alto Networks' weit verbreiteter GlobalProtect-VPN-Technologie wird derzeit aktiv ausgenutzt. Die Schwachstelle CVE-2026-0257 ermöglicht Angreifern, die Authentifizierung zu umgehen und auf VPN-Verbindungen zuzugreifen, ohne gültige Benutzeranmeldedaten zu besitzen. Obwohl Palo Alto Networks die Lücke bereits im Mai identifizierte und ein Update bereitstellte, bestätigt das Unternehmen nun aktive Ausnutzungsversuche auf nicht gepatchten Systemen. Das Cybersecurity-Unternehmen Rapid7 dokumentierte erfolgreiche Angriffe auf zahlreiche Kundenumgebungen, teilweise mit Zugang zum internen Netzwerk der betroffenen Organisationen. Die Schwachstelle nutzt manipulierte Authentifizierungscookies aus, um sich als legitimierte Benutzer auszugeben. Besonders für deutsche Unternehmen und Behörden, die auf Palo Alto-Firewalls als kritische Schutzkomponenten vertrauen, stellt dies ein erhebliches Risiko dar. Eine sofortige Aktualisierung oder Implementierung der empfohlenen Mitigationsmaßnahmen ist dringend erforderlich, um Netzwerkzugriffe durch Unbefugte zu verhindern.

Die Vulnerability CVE-2026-0257 betrifft die GlobalProtect-Komponente von PAN-OS, eine weit verbreitete Enterprise-VPN-Lösung. Palo Alto Networks entdeckte die Lücke intern und veröffentlichte im Mai einen Patch. Doch neu hinzugekommene Erkenntnisse zeigen: Cyberkriminelle hatten bereits vorher angegriffen — und tun es immer noch.

Forschern des Sicherheitsunternehmens Rapid7 zufolge führten erste erfolgreiche Exploits bereits am 17. Mai zu Eindringversuchen in Umgebungen mehrerer Kunden. Die Angreifer nutzen eine raffinierte Methode: Sie erzeugen gefälschte Authentifizierungs-Cookies, die als „Bearer Token" fungieren und dem VPN-Gateway als legitime Anmeldungen erscheinen. Mit diesen forged Cookies erhalten Angreifer Zugang zu internen Netzwerken, ohne ein einziges Passwort zu kennen.

Zur Exploitation ist allerdings eine spezifische, aber nicht ungewöhnliche Misconfiguration erforderlich: Das Feature “Authentication Override” muss aktiviert sein, und die Zertifikate für die Cookie-Verschlüsselung dürfen nicht identisch mit denen des HTTPS-Service sein. Unter genau diesen Bedingungen können Angreifer das öffentliche Schlüsselmaterial auslesen und eigene Cookies erzeugen, die das System akzeptiert.

Rapid7 entwickelte einen Proof-of-Concept, der die Machbarkeit eindrucksvoll demonstrierte. Nach den ersten Angriffen im Mai folgte eine zweite Angriffswelle am 21. Mai — mit Hinweisen, dass Angreifer tatsächlich VPN-Adressen zugewiesen bekamen und Zugang zu internen Systemen erlangten.

Die Bewertung mit einem CVSS-Score von 7.8 (“medium”) verharmlost das tatsächliche Risiko erheblich. Rapid7 und das CISA behandeln CVE-2026-0257 de facto als kritisch, weil eine VPN-Appliance an der Netzwerk-Peripherie kompromittiert wäre — das ist eine direkte Tor-Öffnung ins Unternehmensnetz.

Zum Vergleich: Auch der verwandte Zero-Day CVE-2025-0108, der PHP-Script-Aufrufe ohne Authentifizierung erlaubte, führte zu ähnlichen Warnungen. Palo Alto Networks ist ein bevorzugtes Ziel, weil erfolgreiche Exploits den Weg ins Firmennetz ebnen.

Unternehmen mit betroffenen Versionen sollten unverzüglich patchen. Palo Alto Networks und Rapid7 urteilen einstimmig: Höchste Priorität. Sofern schnelles Patching unmöglich ist, sollten Administratoren sofort die “Authentication Override”-Funktion deaktivieren oder exklusive Zertifikate für Cookie-Verschlüsselung generieren und das Portalzertifikat strikt trennen.”,

Ähnliche Artikel