CVE-2026-0300: Was PAN-OS-Admins jetzt tun sollten

'Begrenzte Ausnutzung' ist kein Entwarnungssignal. Das Center for Internet Security beschreibt Angriffe auf User-ID Authentication Portals, die gegenüber nicht vertrauenswürdigen IP-Adressen oder dem öffentlichen Internet exponiert sind; Kunden, die solche Portale auf vertrauenswürdige interne Netze beschränken, haben demnach ein deutlich reduziertes Risiko . Unit 42 formuliert es ähnlich: Das Risiko einer nicht authentifizierten Remote Code Execution steigt deutlich, wenn das Portal am öffentlichen Internet oder an nicht vertrauenswürdigen Netzen hängt .

Diese Systeme zuerst prüfen

Priorität haben Palo Alto Networks PA-Series- und VM-Series-Firewalls mit PAN-OS, bei denen das User-ID Authentication Portal beziehungsweise Captive Portal aktiviert ist . Öffentliche Berichte zu Palo Altos Bewertung nennen einen CVSS-Wert von 9,3, wenn das Portal für Zugriff aus dem Internet oder aus nicht vertrauenswürdigen Netzen konfiguriert ist; bei Beschränkung auf vertrauenswürdige interne IP-Adressen sinkt die Bewertung auf 8,7 . Das ist weniger Risiko, aber keine Behebung: Auch intern beschränkte betroffene Systeme brauchen den vom Hersteller empfohlenen Update-Pfad .

Prisma Access, Cloud NGFW und Panorama-Appliances sind laut Unit 42 nicht von dieser Schwachstelle betroffen . Das hilft bei der Eingrenzung, ersetzt aber keine Bestandsaufnahme der eigenen PA-Series- und VM-Series-Deployments, vor allem dort, wo Captive Portal jemals für nicht vertrauenswürdige IP-Adressen erreichbar war .

Sofortplan für PAN-OS-Admins

1. Alle Portal-Deployments finden

Inventarisieren Sie PAN-OS-Firewalls und markieren Sie alle PA-Series- und VM-Series-Geräte, auf denen User-ID Authentication Portal/Captive Portal aktiviert ist . Erfassen Sie für jedes Gerät, ob das Portal aus dem Internet, aus einem nicht vertrauenswürdigen Netz oder ausschließlich aus vertrauenswürdigen internen IP-Bereichen erreichbar ist. Öffentliche oder nicht vertrauenswürdige Erreichbarkeit ist die höchste Priorität, weil genau dort das Ausnutzungsrisiko erhöht ist .

2. Zugriff sofort einschränken oder deaktivieren

Beschränken Sie das User-ID Authentication Portal auf vertrauenswürdige interne Netze. Wenn das nicht zuverlässig möglich ist, deaktivieren Sie den Portalzugriff, bis das Gerät sauber behoben werden kann. Die Cyber Security Agency of Singapore rät Nutzern und Administratoren betroffener Versionen, den Portalzugriff einzuschränken oder zu deaktivieren, bis Sicherheitsupdates verfügbar sind .

3. Nach Palo Altos Advisory patchen, nicht nach kopierten Tabellen

CERT-EU empfiehlt, betroffene Appliances zu aktualisieren, sobald Patches verfügbar sind, und bis dahin Workarounds und Abhilfemaßnahmen anzuwenden . Verwenden Sie das Advisory von Palo Alto Networks zu CVE-2026-0300 als maßgebliche Quelle für betroffene und behobene Versionen der jeweiligen PAN-OS-Version .

4. Exposition nach dem Patch erneut prüfen

Ein Softwareupdate allein sollte nicht als Freigabe verstanden werden, das Portal wieder breit erreichbar zu machen. Prüfen Sie nach dem Patch, ob das User-ID Authentication Portal weiterhin nicht aus dem öffentlichen Internet oder aus nicht vertrauenswürdigen Netzen erreichbar ist, sofern es dafür keine dokumentierte geschäftliche Notwendigkeit und keine passenden Zusatzkontrollen gibt. Die Beschränkung sensibler Portale auf vertrauenswürdige interne Netze wird als Best-Practice-Position beschrieben, die das Risiko stark reduziert .

5. Exponierte Firewalls wie potenziell kompromittiert behandeln

Jede betroffene Firewall, deren Portal aus nicht vertrauenswürdigen Netzen erreichbar war, sollte vor der Rückkehr in den Normalbetrieb eine Kompromittierungsprüfung erhalten. Sichern Sie Logs, prüfen Sie Portal-Traffic, suchen Sie nach unerwarteten Konfigurationsänderungen und nach Post-Exploitation-Aktivität. Der Grund ist hart, aber klar: Erfolgreiche Ausnutzung kann nicht authentifizierte Codeausführung mit Root-Rechten auf der Firewall ermöglichen .

US-Bundesbehörden: KEV-Prozess als Pflichtprogramm

Für US-Bundesbehörden, die den CISA-KEV-Prozessen unterliegen, ist CVE-2026-0300 mehr als ein Herstellerhinweis. Das Canadian Centre for Cyber Security berichtet, dass CISA die Schwachstelle am 6. Mai 2026 in den KEV-Katalog aufgenommen hat ; aktuelle Berichte weisen darauf hin, dass Bundesbehörden KEV-gelistete Schwachstellen nach BOD 22-01 beheben müssen .

Teams sollten dafür eine belastbare Nachweiskette führen: Asset-Findings, Einschränkung oder Deaktivierung des Portals, Patch-Status, validierte PAN-OS-Fix-Version, Beleg dafür, dass kein Pfad aus nicht vertrauenswürdigen Netzen offen bleibt, und Kompromittierungsprüfung für jedes exponierte Gerät.

Wenn der Patch nicht sofort möglich ist

Lassen Sie Abhilfemaßnahmen aktiv, bis der passende Fixed Release für die betroffene Bereitstellung verfügbar und installiert ist. Wenn der Betrieb Captive Portal nicht abschalten kann, beschränken Sie den Zugriff auf vertrauenswürdige interne IP-Bereiche und überwachen Sie engmaschig. Wenn weder Patchen noch zuverlässiges Einschränken möglich ist, isolieren Sie die Firewall von nicht vertrauenswürdigem Zugriff oder entfernen Sie den exponierten Dienst bis zur Behebung. Die verbleibende Exposition ist netzwerkreichbar, nicht authentifiziert, automatisierbar und bereits als ausgenutzt gemeldet .

Fehler, die Sie vermeiden sollten

• Warten Sie nicht auf das nächste reguläre Wartungsfenster, wenn das Portal aus dem Internet oder einem nicht vertrauenswürdigen Netz erreichbar ist; genau diese Konfiguration wird in den verfügbaren Hinweisen als Hochrisikosituation beschrieben .
• Behandeln Sie eine interne Beschränkung nicht als dauerhafte Lösung. Sie senkt das Risiko, ersetzt aber nicht den passenden PAN-OS-Behebungspfad .
• Nutzen Sie Drittlisten zu behobenen Versionen nicht als letzte Autorität. Maßgeblich bleibt Palo Altos Advisory mit dem aktuellen Herstellerstatus und Versionshinweisen .
• Hören Sie nach dem Patchen nicht auf, wenn die Firewall während der Exploitation-Phase exponiert war. Prüfen Sie auf Kompromittierung, weil die Lücke Codeausführung mit Root-Rechten erlauben kann .

Die minimale sichere Linie ist damit klar: User-ID Authentication Portal von nicht vertrauenswürdigem Zugriff trennen, Palo Altos Advisory für das Patching verwenden und jede exponierte Firewall vor der Rückkehr in den normalen Vertrauensstatus untersuchen .