Palo Alto Networks: PAN-OS GlobalProtect-Schwachstelle wird aktiv ausgenutzt
Aktive Angriffe auf Unternehmens-VPNs
Palo Alto Networks warnt, dass Angreifer eine PAN-OS GlobalProtect-Authentifizierungs-Bypass-Schwachstelle aktiv ausnutzen, die es ihnen ermöglichen kann, unautorisierte VPN-Verbindungen auf Firmenendgeräten herzustellen.
Die Schwachstelle, registriert als CVE-2026-0257, wurde Anfang dieses Monats gepatcht. Palo Alto hatte sie zunächst als mittlere Schwere eingestuft und erklärt, dass eine Ausnutzung erfordert, dass Geräte mit aktivierten Authentifizierungs-Override-Cookies konfiguriert sind und eine bestimmte Zertifikatskonfiguration vorliegt. Am Freitag überarbeitete das Unternehmen seine Advisory, teilte mit, dass man begrenzte Exploit-Versuche gegen ungepatchte PAN-OS-Geräte ohne Abschwächungen festgestellt habe, und erhöhte die Einstufung auf Hoch.
„Das GlobalProtect-Portal und Gateway der Palo Alto Networks PAN-OS-Software erlaubt es einem Angreifer, Sicherheitsbeschränkungen zu umgehen und eine unautorisierte VPN-Verbindung herzustellen“, heißt es in der Advisory des Unternehmens.
Das Update folgt einer separaten Warnung von Rapid7, das berichtete, erfolgreiche Ausnutzungen bei zahlreichen Kunden ab dem 17. Mai beobachtet zu haben. Rapid7 sagte, man habe keine Hinweise auf erfolgreiche laterale Bewegung von den betroffenen Geräten gesehen, merkte jedoch an, dass die Schwachstelle am 29. Mai 2026 in den CISA Known Exploited Vulnerabilities-Katalog aufgenommen wurde.
Laut Rapid7 nutzten die Angriffe gefälschte Authentifizierungs-Override-Cookies, um sich an GlobalProtect-Gateways zu authentifizieren und zielten auf das lokale Administrator-Konto. Das Unternehmen sagte, die erste Ausnutzung habe man am 18. Mai von Infrastruktur beobachtet, die bei Vultr gehostet wurde, gefolgt von einer zweiten Welle am 21. Mai, die von Dromatics Systems ausging.
In einigen Fällen konnten Angreifer über VPN mit gefälschten Cookies eine Verbindung zu Geräten herstellen und Zugriff auf interne Netzwerke erlangen. In anderen Vorfällen akzeptierte das Gerät das gefälschte Cookie, aber eine komplette VPN-Sitzung konnte nicht aufgebaut werden.
Rapid7 erklärte, die betroffenen Geräte hätten GlobalProtect-Authentifizierungs-Override-Cookies aktiviert und seien so konfiguriert gewesen, dass Angreifer gültige Cookies fälschen konnten. Das Problem liegt im Validierungsprozess von PAN-OS: Das VPN-Gerät entschlüsselt das Cookie mit einem konfigurierten privaten Schlüssel und vertraut dem entschlüsselten Inhalt, ohne eine Signaturprüfung durchzuführen. Wenn dasselbe Zertifikat sowohl für HTTPS-Dienste als auch für Authentifizierungs-Override-Cookies verwendet wird, kann ein Angreifer den öffentlichen Schlüssel über die HTTPS-Sitzung erhalten und ihn nutzen, um ein Cookie zu erstellen, das das Gerät als legitim akzeptiert.
Quellen:
Doppler VPN: 6 Server-Standorte, VLESS-Protokoll, keine Protokollierung. Kostenlos starten.