Zum Hauptinhalt springen
S-EDV news
← Alle News
Sicherheit & Datenschutz 06.07.2026 · 5 min Lesezeit

VPN-Gateway-Lücken Sommer 2026: Palo Alto, Check Point und WatchGuard aktiv ausgenutzt

Innerhalb von acht Wochen sind drei kritische VPN-Gateway-Lücken bei Palo Alto, Check Point und WatchGuard aufgetaucht, alle aktiv ausgenutzt, mit Ransomware-Bezug. Wer eine dieser Plattformen produktiv betreibt, muss diese Woche patchen.

VPN Gateway mit Sicherheitswarnung vor Cyberangriffen auf Palo Alto, Check Point und WatchGuard. Symbolische Darstellung aktiv ausgenutzter Sicherheitslücken im Sommer 2026 mit moderner Netzwerk, Firewall und Cybersecurity Infrastruktur für IT News.

Innerhalb von acht Wochen (Mitte Mai bis Anfang Juli 2026) sind drei kritische VPN-Gateway-Lücken bei den drei wichtigsten Hersteller-Familien für mittelständische Netzwerke aufgetaucht. Palo Alto GlobalProtect (CVE-2026-0257), Check Point VPN (CVE-2026-50751) und WatchGuard Firebox (CVE-2026-13368) wurden alle in der Praxis ausgenutzt, alle drei mit aktivem Ransomware-Bezug oder bestätigter Massen-Exploitation. Wer eine dieser Plattformen produktiv betreibt und noch nicht gepatcht hat, sollte das diese Woche nachholen.

Dieser Artikel betrifft Administratoren und IT-Verantwortliche, die in ihrem Unternehmen eine oder mehrere der folgenden Plattformen produktiv im Einsatz haben: Palo-Alto-Firewalls mit aktivem GlobalProtect-Gateway, Check-Point-Quantum- oder CloudGuard-Appliances mit aktiviertem VPN Remote Access, WatchGuard-Firebox-Appliances mit Mobile-VPN-mit-IKEv2. Wer keine dieser Plattformen nutzt, ist nicht direkt betroffen, sollte aber die Tendenz zu IKE-Protokoll-Lücken generell im Auge behalten.

Die drei Lücken im Überblick

Palo Alto Networks – CVE-2026-0257 (PAN-OS GlobalProtect), CVSS 8.1

Veröffentlicht am 13.05.2026. Authentifizierungsumgehung im GlobalProtect-Portal und -Gateway. Ein Angreifer kann sich ohne gültige Credentials als beliebiger Nutzer am VPN anmelden und in das interne Netz einwählen. Betroffen sind PAN-OS 11.1, 11.2 und 12.1 mit aktivem GlobalProtect-Gateway. Arctic Wolf, Unit 42 und Rapid7 haben Exploitation ab Anfang Juni 2026 beobachtet.

Check Point – CVE-2026-50751 und CVE-2026-50752, CVSS 9.3

Veröffentlicht am 08.06.2026. User-Authentication-Bypass im VPN Remote Access und Mobile Access über das deprecated IKEv1-Protokoll. Ein Angreifer baut VPN-Verbindung ohne Passwort auf und erhält Zugriff auf das interne Netz. Die Ransomware-Gruppe Qilin nutzt CVE-2026-50751 aktiv für Initial Access, bestätigt mit „medium confidence" von Check Point. CISA hat CVE-2026-50751 mit einer 72-Stunden-Patch-Frist in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen.

WatchGuard – CVE-2026-13368 und CVE-2026-13050, CVSS 9.2

Veröffentlicht am 04.07.2026. Race Condition im IKEv2-VPN-Daemon im LDAP-Authentifizierungspfad. Use-after-free ermöglicht unauthentifizierte Remote Code Execution. Es ist das dritte kritische IKEv2-RCE in WatchGuard Fireware OS innerhalb von zehn Monaten. Workaround ohne Patch: Mobile-VPN-mit-IKEv2 deaktivieren oder LDAP-Authentifizierung für IKEv2 abschalten.

Wer ist betroffen?

  1. Palo-Alto-Kunden mit PA-Series-Firewalls (PA-220, PA-820, PA-3220 etc.) und aktivem GlobalProtect.
  2. Check-Point-Kunden mit Quantum-SG-Appliances und aktiviertem IKEv1-Profil (Voreinstellung in vielen Setups).
  3. WatchGuard-Kunden mit Firebox T-Serie, M-Serie oder Peak-Serie mit Mobile-VPN-mit-IKEv2 und LDAP-Authentifizierung an Active Directory.

Nicht betroffen sind: Kunden, die GlobalProtect nicht aktiviert haben (Palo Alto), Kunden, die ausschließlich IKEv2 nutzen und IKEv1 deaktiviert haben (Check Point), Kunden mit reiner IKEv1-Konfiguration (WatchGuard, sofern LDAP nicht als Auth-Backend konfiguriert ist). Kunden, die das jeweilige Produkt nicht im Einsatz haben.

Wie kritisch ist das?

Sehr kritisch. Alle drei Lücken erlauben unauthentifizierten oder nahezu unauthentifizierten Zugriff auf das interne Netzwerk. Bei Check Point und WatchGuard ist das Schadenspotenzial „full device takeover", bei Palo Alto reicht die Authentifizierungsumgehung für lateralen Zugriff auf alle per VPN erreichbaren internen Ressourcen. Mit CVE-2026-50751 (Check Point) ist zudem ein konkreter Ransomware-Aktor verbunden, der die Lücke für Erstzugang nutzt. Wer noch ungepatcht ist, sollte von laufender aktiver Ausnutzung ausgehen.

Was sollten Admins jetzt tun?

  1. Inventur diese Woche: Welche Hersteller im Bestand, welche Versionen, welche Lücken-Treffer dokumentieren.
  2. Wartungsfenster für Patches und Reboots festlegen. Bei allen drei Herstellern ist Reboot Teil des Patches.
  3. Logs der letzten 90 Tage prüfen: Auth-Success aus unbekannter Quell-IP, verdächtige Quell-Länder, fehlgeschlagene Auth direkt gefolgt von erfolgreicher Auth. Solche Muster deuten auf bereits erfolgte Ausnutzung hin.
  4. Palo Alto: Update auf PAN-OS 11.1.6 / 11.2.4 / 12.1.1 oder neuer. Reihenfolge: HA-Passiv zuerst, Failover, dann Aktiv. GlobalProtect-Session-Timeouts auf 12 Stunden senken, Multi-Faktor-Authentifizierung am Portal erzwingen.
  5. Check Point: Hotfix für CVE-2026-50751/CVE-2026-50752 installieren. Falls kein sofortiger Patch möglich, IKEv1 deaktivieren (IKEv2-only-Communities). Mobile Access Blade auf aktuelle Version prüfen.
  6. WatchGuard: Fireware auf 11.12.4_Update1 / 12.12 / 2026.2 oder neuer. IKEv2-Mobile-VPN mit LDAP-Auth: Patch-Status prüfen, sonst LDAP deaktivieren oder IKEv2 ganz abschalten. Management-Web-UI vom öffentlichen Internet trennen.
  7. Prüfliste nach dem Patch: VPN funktioniert, mobile Nutzer können sich einwählen, keine auffälligen Auth-Events in den Logs, Versionsstand im Inventar aktualisiert, Workarounds (falls vorab aktiviert) deaktivieren.

Das Muster hinter der Welle

Drei Hersteller, drei unterschiedliche Codebasen, ein gemeinsamer Trend: IKE-Protokolle als Angriffsvektor. IKEv1 (Check Point) und IKEv2 (WatchGuard, Palo Alto GlobalProtect) sind alt, komplex und historisch schwer abzusichern. Mit der Zunahme automatisierter Schwachstellen-Scanner lohnen sich Investitionen in diese Lücken für Angreifer. Die zeitliche Nähe (alle drei Lücken innerhalb von acht Wochen) ist kein Zufall, sondern Ergebnis dieser Scanner-Welle. Wer IKE-basierte VPNs betreibt, sollte IKEv1 grundsätzlich deaktivieren, wo immer möglich, und IKEv2-Konfigurationen mit aktuellen Bibliotheken und Authentifizierungsverfahren betreiben.

Einordnung für kleine Unternehmen

KMU mit Palo Alto, Check Point oder WatchGuard im Bestand müssen diese Woche handeln. Wer keinen der betroffenen Hersteller einsetzt, kann die Ruhe nutzen, um die eigene VPN-Infrastruktur generell zu prüfen: aktuelle Firmware, MFA-Pflicht am VPN-Portal, IKEv1 deaktiviert, Mobile-VPN mit aktueller Authentifizierung. Das ist ein guter Zeitpunkt für eine kritische Bestandsaufnahme der gesamten Netzwerk-Perimeter-Komponenten.

Passende Anleitungen auf S-EDV

  1. Fortinet Firewalls: Berichte über massive Kompromittierung von FortiGate-Zugängen
  2. Cisco ISE: Kritische Sicherheitslücke trotz erforderlicher Adminrechte
  3. Site-to-Site VPN mit WireGuard oder IPsec auf OPNsense einrichten
  4. OPNsense Suricata IDS/IPS einrichten und tunen
  5. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist
  6. Sophos, Rubrik und Microsoft 365 Backup: Schutz gegen Ransomware im GA

Quellen

  1. Palo Alto Security Advisory: CVE-2026-0257
  2. NVD: CVE-2026-0257 Detail
  3. Unit 42: Active Exploitation of PAN-OS CVE-2026-0257
  4. Rapid7: Observed Exploitation of PAN-OS GlobalProtect
  5. Arctic Wolf: CVE-2026-0257 PAN-OS GlobalProtect
  6. Check Point Blog: Important Hotfix für IKEv1 VPN
  7. Beazley Security: Check Point VPN Auth Bypass
  8. The CyberSec Guru: CVE-2026-50751 Check Point VPN Qilin
  9. Apolo Cybersecurity: CVE-2026-50751 CVSS 9.3
  10. WatchGuard Blog: Fireware v2026.2, 12.12 und 12.5.18
  11. CVEFeed: CVE-2026-13368
  12. TechTimes: WatchGuard Firebox IKEv2 RCE
  13. Threat Modeling: Vulnerability Intelligence Report 3. Juli 2026