Im Mittelpunkt der Warnung steht CVE-2026-0257, eine Schwachstelle in PAN-OS, die laut Palo Alto Networks eine Umgehung der Authentifizierung ermöglicht. Betroffen sind die Portal- und Gateway-Komponenten von GlobalProtect. Ein Angreifer kann damit Sicherheitskontrollen umgehen und VPN-Verbindungen initiieren.
Palo Alto Networks erklärte, man habe „aktive Ausnutzung“ der Lücke durch einen unbekannten Bedrohungsakteur beobachtet. Ziel der Angriffe sei es, unbefugten Zugang zu GlobalProtect-Portalen zu erhalten. Der Hersteller beziffert die Schwere der Schwachstelle mit einem CVSS-Wert von 7,8.
Nach Unternehmensangaben wird die Lücke bereits bei realen Angriffen ausgenutzt, allerdings nur in begrenztem Umfang. Die ersten Aktivitäten wurden demnach am 17. Mai 2026 festgestellt. Wer hinter den Ausnutzungsversuchen steckt, ist derzeit nicht bekannt.
Zum bisherigen Bild der Angriffe teilte Palo Alto Networks mit, dass bislang kein Verhalten nach dem Zugriff und keine lateralen Bewegungen festgestellt worden seien. Außerdem habe nur ein kleiner Teil der überprüften Geräte tatsächlich VPN-Sitzungen aufgebaut, die zu Gateway-Verbindungsereignissen führten.
Begleitend hat das Unternehmen Indicators of Compromise zu der Aktivität veröffentlicht. Zudem fordert Palo Alto Kunden auf, die GlobalProtect-Protokolle nach erfolgreichen Gateway-Verbindungsereignissen zu durchsuchen, die mit den fest eincodierten Client-Konfigurationswerten eines Proof-of-Concept-Exploits übereinstimmen.
Auch die US-Behörde CISA hat die Schwachstelle bereits aufgegriffen. Sie nahm CVE-2026-0257 Ende des vergangenen Monats in ihren Katalog der bekannten ausgenutzten Schwachstellen auf. Zugleich ordnete die Behörde an, dass Behörden der Federal Civilian Executive Branch die Lücke bis zum 1. Juni 2026 entschärfen müssen.