Palo Alto Networks PAN-OS enthält eine kritische Schwachstelle CVE-2026-0300 im Dienst User-ID Authentication Portal, die bereits in realen Angriffen ausgenutzt wird: Ein nicht authentifizierter entfernter Angreifer kann beliebigen Code mit Rechten von root auf Firewalls der PA-Series und VM-Series ausführen, was besonders gefährlich ist, wenn das Portal aus dem Internet erreichbar ist; ein Patch steht bislang nicht zur Verfügung, daher müssen Administratoren solcher Geräte umgehend entweder das Portal deaktivieren, falls es nicht benötigt wird, oder den Zugriff strikt nur auf vertrauenswürdige interne Netze beschränken.

Technische Details zu CVE-2026-0300

Gemäß dem Advisory von Palo Alto Networks stellt CVE-2026-0300 ein buffer overflow im Dienst User-ID Authentication Portal (Captive Portal) des Betriebssystems PAN-OS dar. Die Schwachstelle ermöglicht es einem Angreifer, speziell präparierte Netzwerkpakete zu senden und, ohne jegliche Authentifizierung, beliebigen Code mit Rechten von root auf folgenden Systemen auszuführen:

• Geräten der Serie PA-Series;
• virtuellen Firewalls VM-Series;
• unter der Voraussetzung, dass auf ihnen das User-ID Authentication Portal aktiviert ist.

Die Kritikalität der Schwachstelle wird nach CVSS formal wie folgt bewertet:

• 9.3 — wenn das User-ID Authentication Portal aus dem Internet oder einem beliebigen nicht vertrauenswürdigen Netz erreichbar ist;
• 8.7 — wenn der Zugriff auf das Portal ausschließlich auf vertrauenswürdige interne IP-Adressen beschränkt ist.

Damit ist der zugrunde liegende Softwarefehler zwar derselbe, doch die Risikobewertung hängt stark vom Netzwerkumfeld und der Exponierung des Dienstes ab. Technisch entspricht dies der klassischen MITRE ATT&CK-Technik T1190 Exploit Public-Facing Application: die Ausnutzung eines von außen erreichbaren Netzwerkdienstes.

Der Hersteller hebt hervor, dass die Schwachstelle:

• bereits einer begrenzten Ausnutzung in freier Wildbahn unterliegt;
• auf Konfigurationen abzielt, in denen das User-ID Authentication Portal öffentlich erreichbar geblieben ist;
• keine Geräte betrifft, auf denen dieser Dienst nicht konfiguriert oder deaktiviert ist.

Zum Zeitpunkt der Veröffentlichung des Advisory ist die Schwachstelle nicht behoben. Palo Alto Networks plant, ab dem 13. Mai 2026 mit der Bereitstellung von Sicherheitsupdates zu beginnen. Die vollständige Liste der betroffenen PAN-OS-Versionen ist im Advisory auf der offiziellen Seite des Herstellers Palo Alto Networks Security Advisories aufgeführt. Der Eintrag in der NVD-Datenbank ist unter NVD: CVE-2026-0300 verfügbar.

Bewertung der Auswirkungen und Risikoprofil

Das zentrale Merkmal dieser Schwachstelle ist die Kombination aus drei Faktoren:

• entfernte Ausnutzung über das Netzwerk;
• vollständiges Fehlen jeglicher Authentifizierungserfordernisse;
• Erlangung von root-Rechten am Netzwerkperimeter.

In realen Architekturen ist eine Firewall mit PAN-OS häufig die erste Verteidigungslinie zwischen externen und internen Netzen. Die Kompromittierung eines solchen Geräts mit root-Privilegien bedeutet praktisch den Vertrauensverlust in den gesamten Netzwerkperimeter. Mögliche Auswirkungen:

• Vollständige Kontrolle über den Traffic: Abfangen, Manipulation, selektives Blockieren oder Zulassen von Verbindungen, Einschleusen schädlicher Inhalte in den Datenstrom.
• Umgehung bestehender Sicherheitsrichtlinien: Anlegen versteckter Regeln, Tunnel oder Policies, die unbemerkte Datenabflüsse oder dauerhaften Zugriff ermöglichen.
• Sprungbrett für laterale Bewegung: Nutzung der kompromittierten Firewall als Zwischenstation für Angriffe auf interne Server, Segmente und Benutzerkonten.
• Beeinträchtigung der Integrität von Protokollen: Ein Angreifer mit root-Rechten kann Spuren verwischen, Logs manipulieren oder sie auf externe Systeme umleiten.

Die Formulierung von Palo Alto Networks zur „limited exploitation“ bedeutet, dass Angriffe bereits festgestellt wurden, nach Einschätzung des Herstellers aber noch keinen massenhaften Charakter haben und sich auf die verwundbarsten Konfigurationen konzentrieren – dort, wo das User-ID Authentication Portal ins Internet geöffnet ist. Historisch entwickeln sich solche Situationen häufig nach dem Muster „von einzelnen zielgerichteten Angriffen zu breit angelegtem Scanning“, sobald eine detaillierte Analyse oder fertige Exploits verfügbar werden.

Segmente, in denen das Risiko besonders hoch ist:

• Organisationen, in denen das User-ID Authentication Portal zur erzwungenen Authentifizierung von Nutzern beim Netzwerkzugang genutzt und von außen erreichbar ist;
• Infrastrukturen mit vielen Niederlassungen und Remote-Nutzern, in denen das Portal „der Bequemlichkeit halber“ in eine aus dem Internet erreichbare Zone verlegt wurde;
• alle Umgebungen, in denen eine PAN-OS-Firewall die einzige Kontrollinstanz am Perimeter und die einzige Segmentierungsgrenze darstellt.

Selbst wenn das Portal nur aus internen Netzen erreichbar ist, verschwindet das Risiko nicht vollständig: Die Schwachstelle kann von einem Angreifer genutzt werden, der bereits Zugang zum lokalen Netz erlangt hat (etwa durch Phishing, die Infektion einer Workstation o.Ä.), um seine Rechte schnell bis zur Kontrolle über die Firewall zu erhöhen. Dadurch wird CVE-2026-0300 zu einem praktischen „Verstärker“ für andere Angriffsvektoren.

Praktische Empfehlungen bis zur Bereitstellung von Patches

1. Unverzügliche Überprüfung der Konfiguration

Vorrangige Aufgabe ist es zu verstehen, auf welchen Geräten ein realer Angriffsvektor besteht:

1. Erstellen Sie eine Liste aller Firewalls PA-Series und VM-Series mit PAN-OS in Ihrer Infrastruktur.
2. Prüfen Sie für jedes Gerät, ob das User-ID Authentication Portal aktiviert ist.
3. Ermitteln Sie, aus welchen Netzwerkzonen darauf zugegriffen werden kann:
   • ob ein direkter Zugriff aus dem Internet besteht;
   • ob es in „Gast-“ oder anderen nicht vertrauenswürdigen Netzen geöffnet ist;
   • oder ob der Zugriff strikt auf interne Adressen bzw. VPN beschränkt ist.

Geräte mit aktiviertem Portal, das aus dem Internet oder anderen nicht vertrauenswürdigen Segmenten erreichbar ist, sollten als kritisch verwundbar eingestuft werden.

2. Temporäre Deaktivierung oder strikte Zugriffsbeschränkung

Bis zur Bereitstellung von Patches kommen zwei grundlegende, auch vom Hersteller empfohlene Ansätze zur Risikoreduzierung in Betracht:

• Vollständige Deaktivierung des User-ID Authentication Portal, sofern die Funktionalität nicht geschäftskritisch ist.
  • Dies ist die zuverlässigste und eindeutigste Methode, den Angriffsvektor auszuschließen.
  • Erfordert eine Bewertung, welche Dienste oder Authentifizierungsszenarien von diesem Portal abhängen.
• Strikte Zugriffsbeschränkung, wenn eine Deaktivierung nicht möglich ist:
  • Erlauben Sie den Zugriff auf das Portal nur aus vertrauenswürdigen Netzwerkzonen und streng begrenzten Adressbereichen;
  • verbieten Sie jegliche Zugriffe auf diesen Dienst aus dem Internet sowie aus Gast- bzw. Partnernetzen;
  • falls erforderlich, ziehen Sie den Zugriff auf das Portal hinter ein VPN, um seine direkte Exponierung auszuschließen.

Schon allein die Beschränkung des Zugriffs aus dem Internet verschiebt das Risiko von „vollständig entfernter Ausnutzung“ auf das Niveau „Nutzung nur nach Eindringen ins interne Netz möglich“.

3. Vorbereitung auf das PAN-OS-Update

Angesichts der angekündigten Bereitstellung von Fixes ab dem 13. Mai 2026 wird empfohlen, bereits jetzt:

• die Veröffentlichungen auf der Security-Advisory-Seite von Palo Alto Networks zu CVE-2026-0300 zu verfolgen;
• ein außerplanmäßiges Wartungsfenster für das Update aller betroffenen PAN-OS-Versionen einzuplanen;
• ein Rollback-Verfahren für den Fall vorzubereiten, dass das Update Nebenwirkungen verursacht, dabei jedoch Prioritäten zu setzen:
  • höchste Priorität — Geräte mit zuvor aus dem Internet erreichbarem Portal;
  • danach — alle übrigen Geräte, auf denen das Portal aktiviert ist, auch wenn es nur intern genutzt wird;
  • zuletzt — Geräte, auf denen das User-ID Authentication Portal nicht verwendet wird (für diese ist das Risiko durch CVE-2026-0300 minimal).

4. Monitoring und Suche nach möglichen Kompromittierungen

Auch wenn im ursprünglichen Advisory keine konkreten IOC genannt werden, ist es sinnvoll, die Überwachung von PAN-OS-Geräten zu verstärken:

• analysieren Sie die Zugriffsprotokolle des User-ID Authentication Portal auf ungewöhnliche Quellen oder Aktivitäten zu unüblichen Zeiten;
• prüfen Sie, ob es ungewöhnliche Änderungen in der Firewall-Konfiguration gibt (neue Regeln, Objekte, Policies, die nicht von Administratoren initiiert wurden);
• verstärken Sie die Integritätskontrolle und das Backup der Gerätekonfiguration, um nicht autorisierte Änderungen erkennen und zurückrollen zu können;
• vereinbaren Sie mit dem SOC oder einem externen Monitoring-Provider eine priorisierte Ereigniskorrelation im Zusammenhang mit PAN-OS nach der Technik Exploit Public-Facing Application.

Bei Verdacht auf eine mögliche Kompromittierung ist es sinnvoll, die betreffende Firewall als kompromittierten Knoten zu betrachten und entsprechende Maßnahmen zu ergreifen: Isolierung, Forensik, Rotation von Schlüsseln und Passwörtern, Überprüfung interner Systeme auf Anzeichen weiterer lateraler Bewegung des Angreifers.

Solange noch keine Fixes für CVE-2026-0300 verfügbar sind, besteht der entscheidende Schritt zur Risikoreduzierung darin, den Zugriff auf das User-ID Authentication Portal aus dem Internet und allen nicht vertrauenswürdigen Netzen auszuschließen und diesen Dienst nach Möglichkeit vorübergehend zu deaktivieren; nach dem Release der PAN-OS-Updates sollten die Patches schnellstmöglich auf allen PA-Series- und VM-Series-Geräten installiert werden, auf denen das Portal genutzt wird, und erst danach sollte eine Rückkehr zu den bisherigen Nutzungsszenarien des Portals in Betracht gezogen werden.