Mastodon Mastodon Mastodon Mastodon

Aktive Ausnutzung von CVE-2026-0257 in Palo Alto PAN-OS GlobalProtect

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Das Unternehmen Palo Alto Networks hat berichtet, dass die Schwachstelle CVE-2026-0257 in den Komponenten Portal und Gateway von GlobalProtect aktiv ausgenutzt wird – einer VPN-Lösung, die weit verbreitet für die Realisierung von Remote-Zugriffen in Unternehmensnetzen eingesetzt wird. Die Schwachstelle ermöglicht die Umgehung der Authentifizierung und das Aufbauen unautorisierter VPN-Verbindungen. Nach Angaben der Forschenden ist die Ausnutzung bislang in ihrem Umfang begrenzt, dennoch müssen Organisationen, die PAN-OS mit GlobalProtect einsetzen, umgehend ihre Logs auf Indikatoren einer Kompromittierung prüfen und verfügbare Updates einspielen.

Technische Details der Schwachstelle

CVE-2026-0257 (NVD) ist eine Schwachstelle zur Umgehung der Authentifizierung, die die Komponenten Portal und Gateway von GlobalProtect in der Software PAN-OS betrifft. Nach Angaben von Palo Alto Networks beträgt der CVSS-Score 7.8, was einem hohen Schweregrad entspricht.

Der Kern der Schwachstelle besteht in der Möglichkeit, Sicherheitskontrollen zu umgehen, was es einem Angreifer erlaubt, VPN-Verbindungen zu initiieren, ohne eine ordnungsgemäße Authentifizierung zu durchlaufen. Dies ist ein grundsätzlich gefährlicher Angriffsvektor: Eine erfolgreiche Ausnutzung verschafft dem Angreifer Netzwerkzugang, der dem eines legitimen Remote-Mitarbeiters entspricht.

Betroffene Produkte:

  • PAN-OS – das Betriebssystem der Firewalls von Palo Alto Networks
  • GlobalProtect portal – das Portal zur Verwaltung von VPN-Verbindungen
  • GlobalProtect gateway – das Gateway für VPN-Verbindungen

Hinweis: Die konkret betroffenen PAN-OS-Versionen sind in den verfügbaren Quellen zum Zeitpunkt der Veröffentlichung nicht spezifiziert. Es wird empfohlen, die offiziellen Hinweise des Herstellers zu konsultieren, um die Anwendbarkeit auf Ihre Infrastruktur zu bestimmen.

Beobachtete Ausnutzungsaktivität

Nach Angaben der Unit 42 von Palo Alto Networks wurden erste Anzeichen einer Ausnutzung unter realen Bedingungen am 17. Mai 2026 registriert. Die Angriffe werden als vom Umfang her begrenzt beschrieben. Ein wichtiges Detail: Nur ein kleiner Teil der sondierten Geräte hat tatsächlich VPN-Sessions aufgebaut, was zum Auftreten von Verbindungsereignissen zum Gateway (gateway-connected events) führte.

Zum Zeitpunkt der Veröffentlichung des Berichts erklärte Palo Alto Networks, dass keine postexploitation-Aktivität oder laterale Bewegung festgestellt wurde. Dies kann auf eine frühe Phase der Kampagne hinweisen – eine Aufklärungs- und Zugriffsprüfungsphase – oder darauf, dass die Angreifer noch nicht zu aktiven Maßnahmen innerhalb der kompromittierten Netze übergegangen sind. Eine Attribution der Bedrohung liegt derzeit nicht vor; der verantwortliche Akteur ist nicht identifiziert.

Es ist zu betonen: Das Ausbleiben beobachteter lateraler Bewegungen bedeutet nicht das Ausbleiben einer Bedrohung. Eine etablierte VPN-Verbindung bietet dem Angreifer einen Ausgangspunkt für weitere Aktionen, und die Verzögerung zwischen der Erlangung des Zugangs und dessen Nutzung ist eine typische Taktik fortgeschrittener Gruppen.

Indikatoren einer Kompromittierung

Palo Alto Networks hat die folgenden IP-Adressen veröffentlicht, die mit der beobachteten Aktivität in Zusammenhang stehen:

  • 23.128.228[.]6
  • 104.207.144[.]154
  • 146.19.216[.]119
  • 146.19.216[.]120
  • 146.19.216[.]125
  • 179.43.172[.]213
  • 185.195.232[.]139
  • 198.12.106[.]60
  • 202.144.192[.]47

Darüber hinaus empfehlen die Forschenden, in den GlobalProtect-Logs nach erfolgreichen Verbindungsereignissen zum Gateway zu suchen, die den fest vorgegebenen Client-Konfigurationsparametern aus dem öffentlichen Exploit (PoC) entsprechen:

  • endpoint_os_version: Microsoft Windows 10 Pro 64-bit
  • source_user_info.domain: leerer Wert

Die Kombination dieser beiden Parameter – eine spezifische Betriebssystemversion und das Fehlen von Domäneninformationen – ist ein charakteristisches Merkmal der Verwendung genau des PoC-Exploits. Wenn in Ihrer Organisation alle legitimen GlobalProtect-Verbindungen von Domänenkonten ausgehen, ist ein leeres Domänenfeld bei einer erfolgreichen Verbindung ein eindeutiges Alarmsignal.

Auswirkungsbewertung

GlobalProtect ist eine der am weitesten verbreiteten Unternehmens-VPN-Lösungen und wird von Organisationen unterschiedlichster Branchen weltweit eingesetzt. Eine Schwachstelle zur Umgehung der Authentifizierung in einer Remote-Access-Komponente ist aus mehreren Gründen besonders gefährlich:

  • Direkter Zugang zum Unternehmensnetz: Eine erfolgreiche Ausnutzung beseitigt die zentrale Hürde – die Authentifizierung – und verschafft dem Angreifer Netzwerkzugang, der von legitimen Zugriffen kaum zu unterscheiden ist
  • Portal- und Gateway-Komponenten sind definitionsgemäß aus dem Internet erreichbar: Dies ist für den Betrieb des VPN erforderlich und macht sie zu einem attraktiven Ziel für massenhaftes Scannen
  • Vorhandensein eines öffentlichen PoC: Fest eincodierte Client-Konfigurationsparameter im Exploit senken die Einstiegshürde für weniger versierte Angreifer

Am stärksten gefährdet sind Organisationen mit veralteten PAN-OS-Versionen, die die entsprechenden Updates nicht eingespielt haben, sowie solche, die keine Überwachung der Verbindungsereignisse zum GlobalProtect-Gateway betreiben.

Praktische Empfehlungen

Sofortige Maßnahmen

  1. Prüfen Sie die GlobalProtect-Logs auf gateway-connected-Ereignisse mit den oben genannten PoC-Parametern (Betriebssystemversion „Microsoft Windows 10 Pro 64-bit“ bei leerem Benutzer-Domänenfeld)
  2. Sperren Sie die aufgeführten IP-Adressen in Ihren Perimeterschutzsystemen. Vergewissern Sie sich vor der Sperrung, dass diese Adressen nicht von legitimen Diensten in Ihrer Infrastruktur genutzt werden
  3. Spielen Sie die PAN-OS-Updates ein, die CVE-2026-0257 beheben, entsprechend den Empfehlungen des Herstellers

Zusätzliche Maßnahmen

  • Führen Sie eine retrospektive Log-Analyse ab dem 17. Mai 2026 durch – dem Datum der ersten registrierten Ausnutzung
  • Wenn verdächtige VPN-Sessions entdeckt werden, führen Sie eine Untersuchung auf postexploitation-Aktivitäten in den betroffenen Netzsegmenten durch, ungeachtet der Aussage von Palo Alto Networks zum Ausbleiben lateraler Bewegungen
  • Erwägen Sie die Einführung von Multi-Faktor-Authentifizierung für GlobalProtect, sofern diese noch nicht konfiguriert ist – dies schafft eine zusätzliche Hürde, selbst wenn der primäre Authentifizierungsmechanismus umgangen wird
  • Richten Sie Alarme für Gateway-Verbindungsereignisse mit anomalen Client-Parametern ein

Organisationen, die PAN-OS mit GlobalProtect einsetzen, sollten diese Schwachstelle als prioritäres Problem behandeln. Das Vorliegen bestätigter Ausnutzungen in realen Umgebungen, eines öffentlichen PoC und der direkte Einfluss auf den Sicherheitspersimeter bilden eine Kombination von Faktoren, die ein rasches Handeln erfordert. Die zentrale Maßnahme ist die umgehende Prüfung der GlobalProtect-Logs anhand der veröffentlichten Indikatoren bei gleichzeitiger Umsetzung der PAN-OS-Updates.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen