CISA zwingt US-Behörden zur sofortigen Schließung massiv ausgenutzter Palo-Alto-VPN-Lücke

Die Sicherheitslücke tritt nur unter bestimmten Bedingungen auf. Sie ist ausnutzbar, wenn auf einem Gerät Authentication-Override-Cookies aktiviert sind – eine Funktion, die es ermöglicht, die normale Authentifizierung zu umgehen, etwa wenn der primäre Authentifizierungsdienst ausfällt – und wenn dasselbe Zertifikat sowohl für die HTTPS-Verwaltungsoberfläche als auch für die Cookie-Verschlüsselung verwendet wird . Treffen diese beiden Punkte zu, kann ein entfernter, nicht authentifizierter Angreifer ein gültiges Authentication-Override-Session-Cookie fälschen. Indem er dieses gefälschte Cookie wiederholt einsetzt, umgeht er den gesamten Authentifizierungsprozess und baut einen nicht autorisierten VPN-Tunnel in das Netzwerk auf .

Der Angriff erfordert keine Benutzerinteraktion und keinerlei Berechtigungen auf dem Zielsystem. Er ist über das Netzwerk mit geringer Komplexität ausführbar, was seine endgültige Einstufung als kritisches Risiko erklärt .

Eine rasante Eskalation von "Mittel" auf "Kritisch"

Als Palo Alto Networks seine Sicherheitswarnung am 13. Mai 2026 veröffentlichte, wurde CVE-2026-0257 als mittelschwere Schwachstelle mit einem CVSS-Wert von 7,8 eingestuft . Viele Sicherheitsportale verbreiten diese ursprüngliche Bewertung bis heute.

Doch eine erneute Analyse durch die US National Vulnerability Database (NVD), gefolgt von anderen Regierungsbehörden, führte zu einer dramatischen Höherstufung. Mit Wirkung zum 29. Mai 2026 reicherte die NVD den Datensatz an, und der maßgebliche Wert der Behörden wurde auf einen kritischen CVSS-v3.1-Wert von 9,1 angehoben . Auch die Cyber Security Agency von Singapur (CSA) und verschiedene internationale CVE-Feeds spiegeln nun die kritische 9,1 wider . Diese Diskrepanz zwischen der anfänglichen Herstellerbewertung und der endgültigen Behördenbewertung ist ein entscheidendes Detail, das viele Unternehmen dazu veranlasste, das Patchen in den ersten Wochen der Ausnutzung nicht zu priorisieren.

Die Angriffswellen: Zwei Wellen von Vultr-Servern

Die Zeitspanne von der Veröffentlichung der Schwachstelle bis zur aktiven Ausnutzung war außergewöhnlich kurz. Das Managed-Detection-and-Response-Team (MDR) von Rapid7 beobachtete die ersten erfolgreichen Angriffe ab dem 17. Mai, nur vier Tage nach der ersten Warnung . Am 29. Mai nahm die CISA CVE-2026-0257 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) auf und setzte eine verbindliche Frist zur Behebung für US-Bundesbehörden: den 1. Juni 2026 .

Es wurden zwei verschiedene Angriffswellen bestätigt. Die erste Welle ging von einer Infrastruktur des Hosting-Anbieters Vultr am 17. und 18. Mai aus, eine zweite Welle folgte von einer Infrastruktur der Dromatics Systems am 21. Mai . Geheimdienstanalysen deuten darauf hin, dass in beiden Wellen dieselben MAC-Adressen verwendet wurden, was auf einen einzigen, verantwortlichen Akteur hindeutet . In jedem beobachteten Fall fälschten die Angreifer Authentication-Override-Cookies, um direkt das lokale Administratorkonto auf den kompromittierten Geräten anzugreifen .

Es gibt jedoch auch eine gute Nachricht: Rapid7 bestätigte zwar, dass bei 8 von 10 betroffenen MDR-Kunden erfolgreiche VPN-Verbindungen aufgebaut wurden, die Ermittler haben jedoch bisher keine erfolgreiche seitliche Bewegung (Lateral Movement) von den kompromittierten Geräten aus beobachtet . Dieses Detail verschafft den Verteidigern ein kleines, aber kritisches Zeitfenster, um die Eindringlinge zu stoppen, bevor sie sich tiefer im Netzwerk ausbreiten.

Öffentlicher Exploit-Code und betroffene Produkte

Das Risiko wird durch die öffentliche Verfügbarkeit von Exploit-Code noch verschärft. Mehrere Geheimdienstberichte bestätigen, dass mindestens ein, wahrscheinlich mehrere, funktionsfähige Exploits in öffentlichen Repositories existieren, was die Hürde für weitere Angriffe senkt .

Die betroffenen Produkte sind klar definiert. Die Schwachstelle betrifft PAN-OS-Versionen 10.2, 11.1, 11.2 und 12.1 auf PA-Series- und VM-Series-Firewalls sowie Prisma Access . Zwei wichtige Produktlinien sind ausdrücklich nicht betroffen: Panorama-Management-Appliances und Cloud-NGFW-Implementierungen (Next-Generation Firewall) .

Sofortmaßnahmen zur Eindämmung und Behebung

Palo Alto Networks hat Patches für alle unterstützten Firmware-Zweige veröffentlicht. Die aktualisierten Softwareversionen, die den Fix enthalten, erzwingen nun die Ablehnung der gefälschten Cookies .

Die umfassendste Strategie zur Risikominderung umfasst vier sofortige Maßnahmen.

1. Upgrade durchführen: Aktualisieren Sie PAN-OS auf die neueste gepatchte Version für Ihren Zweig. Die korrigierten Versionen für PAN-OS 12.1 umfassen 12.1.4-h6 und 12.1.7; für 11.2 sind es 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 und 11.2.12; entsprechende Versionen existieren für 11.1 und 10.2 . Auch Prisma-Access-Instanzen müssen entsprechend aktualisiert werden.

2. Deaktivieren, wenn möglich: Wenn Authentication-Override-Cookies für Ihren Geschäftsablauf nicht absolut kritisch sind, deaktivieren Sie diese Funktion vollständig. Damit entfällt die angreifbare Vorbedingung und nicht nur der Exploit selbst .

3. Zertifikats-Trennung: Verwenden Sie niemals dasselbe Zertifikat für die HTTPS-Verwaltungsoberfläche und für die GlobalProtect-Cookie-Verschlüsselung. Die Verwendung eines dedizierten Zertifikats für die Cookie-Verschlüsselung durchtrennt den Mechanismus, mit dem ein gültiges, fälschbares Cookie erstellt werden kann .

4. Log-Analyse starten: Beginnen Sie sofort mit einer aktiven Protokollprüfung. Achten Sie auf anomale Sitzungserstellungen, Verbindungen von unbekannten IP-Adressen – insbesondere aus der bekannten Angreifer-Infrastruktur wie dem Vultr-Netzwerk – und auf eine unerwartete Verwendung von Authentication-Override-Cookies . Da eine Seitwärtsbewegung bisher nicht bestätigt wurde, ist die Protokollanalyse derzeit Ihr bestes Werkzeug, um festzustellen, ob eine Kompromittierung bereits stattgefunden hat.

Die CISA-Frist vom 1. Juni ist heute. Unternehmen, die diese Patches noch nicht eingespielt haben, bewegen sich derzeit unter einem bestätigten, aktiv ausgenutzten, kritischen Sicherheitsrisiko. Das Zeitfenster für ein proaktives Patchen schließt sich und weicht der Notwendigkeit forensischer Untersuchungen.