Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 03.06.2026 · 3 min Lesezeit

Palo Alto GlobalProtect (CVE‑2026‑0257): VPN-Authentifizierungsumgehung wird aktiv ausgenutzt

Sicherheitsforschende von Rapid7 bestätigen die aktive Ausnutzung von CVE-2026-0257 in Palo Alto GlobalProtect. Angreifer fälschen Authentifizierungs-Cookies und umgehen so den VPN-Login. CISA hat eine Patch-Frist gesetzt.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warn-Infografik zu CVE-2026-0257 in Palo Alto GlobalProtect, mit aktiv ausgenutzter VPN-Authentifizierungsumgehung, betroffenem PAN-OS-Gateway, gefälschten Override-Cookies und dringendem Patchen oder Deaktivieren der Authentifizierungsübersteuerung.

Sicherheitsforschende von Rapid7 haben am 1. Juni 2026 bestätigt, dass die Schwachstelle CVE-2026-0257 in der VPN-Lösung GlobalProtect von Palo Alto Networks aktiv ausgenutzt wird. Die Lücke erlaubt es Angreifern, Authentifizierungs-Cookies zu fälschen und so VPN-Zugriff ohne legitime Anmeldedaten zu erlangen. Palo Alto Networks hatte den Schweregrad zunächst als mittel eingestuft, den CVSS-Score am 29. Mai 2026 jedoch auf 7,8 (hoch) angehoben. Die US-Behörde CISA ordnete an, dass Bundesbehörden die Patches bis zum 1. Juni 2026 einspielen müssen.

Die Schwachstelle

CVE-2026-0257 ist eine Authentifizierungsumgehung, die auf einer fehlerhaften Wiederverwendung von Zertifikaten beruht: Dasselbe Zertifikat wird sowohl für andere Zwecke als auch für die Verschlüsselung der Authentifizierungs-Cookies genutzt. Dadurch können Angreifer gültige Cookies fälschen und sich gegenüber den VPN-Gateways und -Portalen als bereits authentifizierte Nutzer ausgeben, ohne über echte Zugangsdaten zu verfügen.

Rapid7 dokumentierte die erste beobachtete Ausnutzung am 17. Mai 2026, ausgehend von einer bei Vultr gehosteten IP-Adresse (104.207.144.154). Insgesamt identifizierten die Forschenden zwei Exploit-Wellen: die erste am 17. und 18. Mai (Vultr), die zweite am 21. Mai (Dromatics Systems). Beide Wellen zeigten konsistente, gespoofte MAC-Adressen. In 8 von 10 überwachten MDR-Kundenumgebungen akzeptierten die Appliances die gefälschten Cookies. Hinweise auf erfolgreiche laterale Bewegungen der Angreifer fanden sich dabei nach Angaben von Rapid7 nicht.

Bin ich betroffen?

Betroffen sind nach Herstellerangaben folgende Produkte und Versionen:

  1. Palo Alto Networks PAN-OS 10.2, 11.1, 11.2 und 12.1
  2. Prisma Access in den Versionen 10.2.0 und 11.2.0

Im Fokus stehen vor allem Edge-facing VPN-Gateways und -Portale in Unternehmensumgebungen weltweit. Administratoren sollten prüfen, ob ihre GlobalProtect-Deployments auf einer der genannten PAN-OS-Branches laufen und ob das Portal beziehungsweise Gateway aus dem Internet erreichbar ist. Da bereits gefälschte Cookies in der Praxis akzeptiert wurden, ist eine Prüfung der Zugriffsprotokolle auf ungewöhnliche Sessions, auffällige Quell-IPs und gespoofte MAC-Adressen ratsam.

Wie behebe ich das?

Palo Alto Networks hat für die betroffenen PAN-OS-Branches Patch-Versionen bereitgestellt. Betroffene Systeme sollten umgehend auf die fixenden Versionen aktualisiert werden. Als Übergangsmaßnahme, falls ein sofortiges Update nicht möglich ist, kommen zwei Mitigationen in Betracht:

  1. Deaktivieren des Authentication-Override-Features, oder
  2. Verwendung eines separaten, dedizierten Zertifikats ausschließlich für die Cookie-Verschlüsselung.

Beide Maßnahmen verhindern, dass ein wiederverwendetes Zertifikat zum Fälschen der Authentifizierungs-Cookies missbraucht werden kann. Sie ersetzen jedoch nicht das Einspielen der offiziellen Patches und sollten nur als Zwischenlösung verstanden werden.

Was bedeutet das für Unternehmen?

Für Unternehmen mit Palo-Alto-GlobalProtect-Deployments ist die Lage kritisch. Eine erfolgreiche Authentifizierungsumgehung bedeutet unbefugten VPN-Zugang zu internen Netzwerken und damit eine Umgehung des Netzwerk-Perimeters ganz ohne Anmeldedaten. Daraus ergeben sich Folgerisiken wie potenzielle Datenabflüsse und laterale Bewegung von Angreifern im Netz.

Da die Ausnutzung nachweislich aktiv läuft und CISA mit dem 1. Juni 2026 bereits eine verbindliche Frist für US-Bundesbehörden gesetzt hat, sollten betroffene Organisationen die Patches mit hoher Priorität einspielen. Die nachträgliche Anhebung des CVSS-Scores von initial 4,7 (mittel) auf 7,8 (hoch) am 29. Mai 2026 unterstreicht, dass der Schweregrad zunächst unterschätzt wurde. Auch ohne dokumentierte laterale Bewegung in den beobachteten Fällen bleibt das Zeitfenster für Angreifer offen, solange ungepatchte und exponierte Gateways im Einsatz sind.

Quellen

Weitere Informationen finden sich beim The Register, im Rapid7-Blog, bei Help Net Security, bei The Hacker News, bei BleepingComputer, bei Security Affairs, im offiziellen Advisory von Palo Alto Networks sowie in der NVD/CISA-Datenbank.

Verwandt

Weiter lesen

Alle Artikel →
Pi-hole als netzwerkweiter Werbe- und Tracker-Blocker per Docker auf einem Linux-Server
02.06.2026 ·11 min

Pi-hole mit Docker: netzwerkweiter Werbe- und Tracker-Blocker

Pi-hole per Docker Compose betreiben und Werbung sowie Tracker netzwerkweit über DNS blockieren. Schritt für Schritt mit fertiger compose.yaml, Lösung des Port-53-Konflikts, Web-Admin, Blocklisten und Backup.
Proxmox VE Installation und Grundkonfiguration
02.06.2026 ·10 min

Proxmox VE installieren und Grundkonfiguration

Schritt für Schritt zur ersten Virtualisierung: Diese Anleitung zeigt dir, wie du Proxmox VE installieren und die Grundkonfiguration für KMU und Homelab sauber aufsetzt – von der ISO über das No-Subscription-Repo bis zur ersten VM, dem ersten LXC-Container und einfachen Backups.
Illustration, die Subnetting und CIDR einfach erklärt, mit IP-Bereichen, Präfixen und der Aufteilung von Netzwerken in Subnetz
02.06.2026 ·9 min

Subnetting und CIDR verständlich erklärt

Subnetting und CIDR ohne Mathe-Schock: Diese Anleitung zeigt dir mit Tabellen und klaren Rechenwegen, wie du aus einem CIDR-Präfix Netzmaske, Netz-, Broadcast- und Host-Adressen ableitest und ein Netz sauber in Subnetze teilst.