Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 02.06.2026 · 3 min Lesezeit

Palo Alto GlobalProtect: VPN-Authentifizierung per CVE‑2026‑0257 umgehbar, aktiv ausgenutzt

Eine Authentifizierungslücke in Palo Alto GlobalProtect (CVE-2026-0257, CVSS 7.8) erlaubt das Umgehen der VPN-Anmeldung per gefälschtem Cookie. Angreifer nutzen die Schwachstelle bereits aktiv aus – CISA hat sie in den KEV-Katalog aufgenommen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Realistisches Security-Hero-Bild mit Serverraum oder SOC-Arbeitsplatz für einen Artikel über eine aktiv ausgenutzte GlobalProtect-VPN-Sicherheitslücke.

Palo Alto Networks warnt vor einer kritischen Authentifizierungslücke in seinem GlobalProtect-VPN. Die als CVE-2026-0257 geführte Schwachstelle (CVSS 7.8) ermöglicht es Angreifern, sich ohne gültige Zugangsdaten über GlobalProtect-Portale und -Gateways in Unternehmensnetze einzuwählen. Ursache ist eine fehlerhafte Cookie-Validierung, die das Fälschen gültiger Authentifizierungs-Cookies erlaubt. Der Hersteller stuft die Lücke mit höchster Dringlichkeit ein – und das aus gutem Grund: Sicherheitsforscher beobachten seit dem 17. Mai 2026 aktive Angriffe in produktiven Umgebungen.

Die Schwachstelle

Im Kern beruht CVE-2026-0257 darauf, dass die Authentifizierungs-Override-Funktion von GlobalProtect Cookies ohne ausreichende Integritätsprüfung akzeptiert. Wird für die Verschlüsselung dieser Cookies dasselbe öffentlich zugängliche HTTPS-Zertifikat verwendet, das auch das Portal beziehungsweise Gateway absichert, können Angreifer gültige Authentifizierungs-Cookies selbst erzeugen.

Für einen erfolgreichen Angriff benötigen die Täter lediglich einen lokalen Admin-Benutzernamen, einen Timestamp sowie eine Host-ID – also keinerlei vorab erbeutete Zugangsrechte. Damit lässt sich die Anmeldung am VPN vollständig umgehen. Rapid7 dokumentierte zwei Angriffswellen, die mutmaßlich auf denselben Threat Actor zurückgehen: vom 17. bis 18. Mai 2026 sowie am 21. Mai 2026. In acht von zehn überwachten Kundenumgebungen beobachteten die Forscher erfolgreiche Exploitation.

Bin ich betroffen?

Betroffen sind die folgenden PAN-OS-Versionen jeweils vor den gepatchten Ständen sowie zwei Prisma-Access-Versionen:

  1. PAN-OS 10.2, 11.1, 11.2 und 12.1 vor den jeweiligen Patch-Levels
  2. Prisma Access 10.2.0 und 11.2.0

Verwundbar sind ausschließlich Konfigurationen mit aktiviertem GlobalProtect-Portal oder -Gateway, bei denen das Authentication-Override-Cookie-Feature aktiv ist und das HTTPS-Portal- beziehungsweise Gateway-Zertifikat zugleich für die Cookie-Verschlüsselung genutzt wird. Administratoren sollten daher prüfen, ob in der Portal- und Gateway-Konfiguration das Authentication-Override aktiviert ist und welches Zertifikat dafür hinterlegt wurde.

Wie behebe ich das?

Palo Alto Networks nennt drei Wege zur Absicherung, die sich kombinieren lassen. Vorrangig sollte das Update eingespielt werden:

  1. Upgrade auf eine gepatchte Version – PAN-OS 12.1.7, 12.1.4-h6, 11.2.12, 11.1.15 oder 10.2.18-h6 beziehungsweise Prisma Access 11.2.7-h13 oder 10.2.10-h36.
  2. Authentication-Override deaktivieren – in der Portal- und Gateway-Konfiguration abschalten, sofern das Feature nicht zwingend benötigt wird.
  3. Dediziertes Zertifikat einsetzen – ein eigenes Zertifikat ausschließlich für die Cookie-Verschlüsselung des Authentication Override verwenden, getrennt vom HTTPS-Portal-/Gateway-Zertifikat.

Die installierte PAN-OS-Version lässt sich über die Kommandozeile prüfen:

show system info | match sw-version

US-Bundesbehörden mussten die Schwachstelle bis zum 1. Juni 2026 beheben. Diese Frist resultiert aus der Aufnahme in den Known-Exploited-Vulnerabilities-Katalog (KEV) der US-Cybersicherheitsbehörde CISA am 29. Mai 2026.

Was bedeutet das für Unternehmen?

Die Einstufung als Perimeter-Bypass macht CVE-2026-0257 besonders gefährlich: Wer die VPN-Authentifizierung umgeht, erhält direkten, unbefugten Zugang zum internen Netz – ganz ohne gültiges Passwort. Daraus ergeben sich unmittelbare Folgerisiken wie Datendiebstahl, das Einschleusen von Malware sowie Ransomware-Angriffe. Da GlobalProtect typischerweise den Remote-Zugang mobiler Belegschaften absichert, ist die Angriffsfläche entsprechend groß.

Die bereits dokumentierte Ausnutzung in Produktivumgebungen hebt die Dringlichkeit auf das höchste Niveau. Organisationen, die GlobalProtect mit Authentication-Override betreiben, sollten umgehend patchen oder mindestens eine der genannten Mitigationen umsetzen und ihre Gateways auf Anzeichen unbefugter Anmeldungen prüfen. Sicherheitsteams sollten zudem die Protokolle der GlobalProtect-Portale und -Gateways rückwirkend auf den Zeitraum seit dem 17. Mai 2026 auswerten, da bereits zwei Angriffswellen dokumentiert sind und eine stille Kompromittierung nicht ausgeschlossen werden kann. Angesichts der laufenden Angriffswellen ist schnelles Handeln geboten.

Quellen: Palo Alto Networks Security Advisory CVE-2026-0257, Rapid7: Observed exploitation of CVE-2026-0257, BleepingComputer, The Hacker News, Help Net Security.

Verwandt

Weiter lesen

Alle Artikel →
Netzwerkkabel in einem Rack stehen stellvertretend fuer Nginx-Webserver und Reverse-Proxy-Infrastruktur
31.05.2026 ·2 min

NGINX Rift: 18 Jahre alte Schwachstelle CVE-2026-42945 wird aktiv ausgenutzt

Eine 18 Jahre alte Lücke im NGINX-Webserver erlaubt unter bestimmten Bedingungen sogar Remote Code Execution. Erste Angriffe laufen, Patch-Versionen sind verfügbar. Rund 5,7 Millionen Server gelten als exponiert.
Rechenzentrum mit beleuchteten Server-Reihen symbolisiert globale IT-Investitionen 2026
30.05.2026 ·2 min

Apache HTTP Server 2.4.67: Elf Lücken geschlossen, fünf davon hochkritisch

Mit Version 2.4.67 schließt die Apache Software Foundation elf Sicherheitslücken im weit verbreiteten Webserver. Fünf gelten als hochkritisch, eine erlaubt Remote Code Execution via HTTP/2.
Netzwerkkabel in einem Rack stehen stellvertretend fuer Nginx-Webserver und Reverse-Proxy-Infrastruktur
29.05.2026 ·2 min

Nginx-DoS-Lücke wird aktiv ausgenutzt: Patch in der Rewrite-Engine

Eine Schwachstelle in der Rewrite-Engine von Nginx kann Worker-Prozesse zum Absturz bringen. Heise meldet aktive Angriffe, Betreiber sollten auf den aktuellen Stable-Zweig aktualisieren.