BEDROHUNG
Eine Authentication-Bypass-Schwachstelle in Palo Alto Networks PAN-OS wird aktiv ausgenutzt. Betroffen sind GlobalProtect-Portale und -Gateways, sofern die Funktion Authentication Override in einer verwundbaren Konfiguration läuft. Palo Alto Networks stufte CVE-2026-0257 Ende Mai von Medium auf High hoch.
Die Schwachstelle liegt in der Verarbeitung von Authentication-Override-Cookies. Diese Funktion erlaubt GlobalProtect, nach erfolgreicher Anmeldung Cookies auszustellen, die bei späteren Verbindungen eine erneute Authentifizierung ersetzen. Verwendet ein Betreiber dasselbe Zertifikat sowohl für HTTPS-Dienste der Portale oder Gateways als auch für die Verschlüsselung dieser Cookies, kann ein Angreifer den öffentlichen Schlüssel über die HTTPS-Verbindung abrufen und damit gültig wirkende Cookies erstellen.
Laut Rapid7 beobachten Sicherheitsforscher seit dem 17. Mai erfolgreiche Ausnutzungsversuche gegen Kundensysteme. In mehreren Fällen authentifizierten sich Angreifer mit gefälschten Cookies als lokaler Administrator. Bei einem Teil der Systeme vergab das Gerät anschließend eine VPN-IP, wodurch Zugriff auf interne Netzwerke möglich war. In vielen Fällen akzeptierte das Gerät die gefälschten Cookies zwar, stellte aber keine vollständige VPN-Sitzung her. Hinweise auf erfolgreiches Lateral Movement fand Rapid7 in den untersuchten Fällen bisher nicht.
Ein PoC wurde bereits veröffentlicht. Am 29. Mai nahm die CISA CVE-2026-0257 in ihren KEV-Katalog auf und setzte für US-Bundesbehörden eine Patch-Frist bis zum 1. Juni. Wer nicht sofort patchen kann, deaktiviert die Authentication-Override-Funktion oder nutzt ein separates Zertifikat dafür. Weitere Details zu den beobachteten Angriffen liegen vor.
Was jetzt zu tun ist:
- umgehend patchen
- Authentication-Override prüfen und ggf. deaktivieren
keine Zertifikate zwischen HTTPS-Diensten und Authentication-Override wiederverwenden
PRÄVENTION & DETEKTION
Im ConSecur Cyber Defence Center erkennen wir Sicherheitsereignisse in Netzwerkinfrastrukturen - zügig und 24/7- bevor sie Schaden anrichten.Mit ein SIEM Tool, wie IBM QRadar oder Splunk erkennen wir Sicherheitsereignisse in Netzwerk Infrastrukturen zuverlässig und zügig.Durch die Kombination aus CDC-Monitoring, leistungsstarken SIEM UseCases und EDR gestützter Verhaltensanalyse bieten wir zuverlässige Erkennung und Reaktion gegen Bedrohungen. So können die schadhaften Pakete auf den betroffenen Geräten unmittelbar erkannt werden.
Autor: Michael Niers
