Eine kritische Sicherheitslücke in den Firewalls von Palo Alto Networks wird derzeit aktiv angegriffen. Hacker verwenden gefälschte Authentifizierungscookies, um Sicherheitskontrollen zu umgehen und auf VPN-Sitzungen zuzugreifenSie hatten nie die Erlaubnis, einzutreten.
Die als CVE-2026-0257 verfolgte Schwachstelle betrifft GlobalProtect, die in PAN-OS integrierte Fernzugriffs-VPN-Lösung von Palo Alto. Palo Alto gab es am 13. Mai bekannt. Angreifer gingen innerhalb weniger Tage dagegen vor.
Gefälschte Cookies entsperren den VPN-Zugriff für mehrere Opfer
Das Sicherheitsunternehmen Rapid7 hat die Angriffe frühzeitig erkannt. Laut Rapid7 schickten Angreifer gefälschte Authentifizierungscookies an Firewalls in mehreren Kundenumgebungen, und die Appliances akzeptierten diese Cookies, ohne bei 8 von 10 betroffenen Managed Detection and Response (MDR)-Kunden eine vollständige VPN-Sitzung aufzubauen. Das ist eine hohe Erfolgsquote für eine Operation zur Fälschung von Anmeldedaten.
Das Unternehmen hat keine bestätigte seitliche Bewegung der kompromittierten Geräte beobachtet. Angreifer haben sich Zugang verschafft, sind aber noch nicht tiefer in die Netzwerke vorgedrungen.
CVE-2026-0257 nutzt eine Lücke in der Art und Weise, wie Palo Alto-Firewalls die Cookie-basierte Authentifizierung handhaben. Die Firewalls akzeptieren Cookies, ohne sie einer gründlichen Validierung oder Integritätsprüfung zu unterziehen. Diese Lücke ermöglicht es entfernten, nicht authentifizierten Angreifern, Sicherheitsbeschränkungen zu umgehen und nicht autorisierte VPN-Verbindungen aufzubauen.
Laut Palo Alto Networks betrifft das Problem insbesondere Firewalls, auf denen das GlobalProtect-Portal oder -Gateway mit aktivierten Authentifizierungs-Override-Cookies und einer bestimmten Zertifikatskonfiguration ausgeführt wird. Die Schwachstelle betrifft sowohl physische als auch virtuelle Firewalls, auf denen PAN-OS läuft, sowie Prisma Access, die cloudbasierte Version der Firewall-Funktionen von Palo Alto.
Wie der Angriff tatsächlich funktioniert
Die Authentifizierungsüberschreibungsfunktion war ursprünglich als praktisches Tool gedacht. Es gibt Cookies an bereits verifizierte Benutzer aus, sodass diese ihre Anmeldeinformationen nicht bei jeder neuen Verbindung erneut eingeben müssen. Bei der falschen Zertifikatseinrichtung wird dieser Komfort zu einer offenen Tür.
Rapid7 hat die Mechanik kaputt gemacht. Wenn es sich bei dem Zertifikat, das die Authentifizierungs-Override-Cookies verwaltet, um dasselbe Zertifikat handelt, das den HTTPS-Dienst des Portals betreibt, können Angreifer den öffentlichen Schlüssel abrufen, indem sie einfach eine Verbindung zu diesem HTTPS-Dienst herstellen.
Dieser Schlüssel gibt ihnen alles, was sie brauchen, um ein gültiges Authentifizierungs-Override-Cookie zu erstellen. Anschließend entschlüsselt der Server das Cookie und vertraut seinem Inhalt, ohne eine Signaturüberprüfung durchzuführen.
Kein zweiter Scheck. Keine Warnung. Die Firewall akzeptiert die Verbindung.
Rapid7 verzeichnete zwei separate Angriffswellen: die erste am 17. Mai 2026 und die zweite am 21. Mai. Beide Wellen trugen eine konsistent gefälschte MAC-Adresse. Laut Rapid7 deuten die gemeinsamen Details stark darauf hin, dass ein einzelner Bedrohungsakteur beide Operationen ausführt.
Rapid7 hat seitdem Kompromittierungsindikatoren sowie ein Proof-of-Concept-Skript veröffentlicht, mit dem Sicherheitsteams testen können, ob ihre Appliances noch offengelegt sind.
CISA greift ein, sobald die Frist abläuft
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2026-0257 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Die Behörde wies alle zivilen US-Bundesbehörden an, den Fehler bis zum 1. Juni 2026 zu beheben, sodass heute die Frist für die Durchsetzung abläuft.
Verstöße gegen Zertifikate stehen zunehmend unter Beobachtung.DigiCerts Verstoßund der Diebstahl von Codesignaturzertifikaten verdeutlichen, wie Schwachstellen in der Zertifikatinfrastruktur weitreichende Folgen haben können.
Palo Alto-Kunden, die kein Upgrade auf eine gepatchte Version durchgeführt haben, müssen jetzt handeln. Es gibt drei Sanierungspfade. Die erste besteht darin, sofort auf die feste PAN-OS-Version zu aktualisieren.
Die zweite besteht darin, die Authentifizierungsüberschreibungsfunktion vollständig zu deaktivieren. Der dritte Schritt ist die Generierung eines neuen, dedizierten Zertifikats, das ausschließlich zur Verwendung als Authentifizierungsüberschreibung dient und völlig unabhängig von dem Zertifikat ist, das das HTTPS-Portal bedient.
Jede Option schneidet den spezifischen Angriffspfad ab, den Hacker derzeit nutzen. Systeme ungepatcht zu lassen, insbesondere nach bestätigter Ausnutzung in großem Umfang, ist ein Risiko, das kein Unternehmen akzeptieren sollte.
Allein die Geschwindigkeit dieser Situation verdient Aufmerksamkeit. Palo Alto gab die Sicherheitslücke am 13. Mai bekannt. Nur vier Tage später starteten die Angreifer ihre erste Welle. Die Kluft zwischen Offenlegung und aktiver Ausbeutung wird immer kleiner. Sicherheitsteams können es sich nicht länger leisten, Patch-Zyklen als routinemäßige Wartung zu behandeln.