Thought Leadership
Hacker nutzen eine Schwachstelle in Palo Alto Networks GlobalProtect aktiv aus, um über gefälschte Cookies Zugriff auf interne Firmennetze zu erlangen.
Der Netzwerk-Sicherheitsanbieter Palo Alto Networks hat eine dringende Sicherheitswarnung für Administratoren seiner PAN-OS-Software herausgegeben. Eine Schwachstelle im Authentifizierungssystem der VPN-Komponente GlobalProtect wird gegenwärtig von Cyberkriminellen in freier Wildbahn ausgenutzt, um unbefugten Zugriff auf interne Unternehmensnetzwerke zu erlangen. Der Fehler wird unter der Kennung CVE-2026-0257 geführt und betrifft sowohl das GlobalProtect-Portal als auch die entsprechenden Gateways.
Während der Hersteller das Risiko bei der ersten Veröffentlichung Mitte Mai 2026 zunächst als moderat eingestuft hatte, da für einen erfolgreichen Angriff eine spezifische Konfiguration vorliegen muss, wurde die Einstufung am Freitag, den 29. Mai 2026, auf ein hohes Sicherheitsrisiko angehoben. Der Grund für diese Neubewertung ist der Nachweis gezielter Ausnutzungsversuche auf Systemen, die bislang nicht mit den bereitgestellten Patches oder entsprechenden Abschwächungsmaßnahmen abgesichert wurden.
Schwachstelle in CISA-Sicherheitskatalog aufgenommen
Die ersten dokumentierten Anzeichen für eine aktive Ausnutzung der Sicherheitslücke wurden vom IT-Sicherheitsdienstleister Rapid7 über dessen Managed Detection and Response Services registriert. Die Telemetriedaten des Unternehmens belegen, dass erfolgreiche Angriffsversuche bei zahlreichen Kunden bereits ab dem 17. Mai 2026 stattfanden. Die Analysten identifizierten zwei spezifische Wellen von Aktivitäten. Die erste Phase begann am 18. Mai 2026 und wurde über eine IT-Infrastruktur abgewickelt, die beim Cloud-Anbieter Vultr gehostet wird. Eine zweite, nachfolgende Angriffswelle detektierten die Systeme am 21. Mai 2026, wobei die Verbindungsanfragen in diesem Fall von Systemen des Anbieters Dromatics Systems ausgingen.
Aufgrund der unmittelbaren Bedrohung für staatliche und kommerzielle Infrastrukturen reagierte die US-amerikanische Cybersicherheitsbehörde CISA umgehend. Am 29. Mai 2026 fügte die Behörde die Schwachstelle CVE-2026-0257 in ihren offiziellen Katalog der bekannten ausgenutzten Sicherheitslücken ein. Für zivile Bundesbehörden in den Vereinigten Staaten wurde eine verbindliche Frist festgesetzt, die administrativen Abhilfemaßnahmen bis zum Montag, den 1. Juni 2026, vollständig umzusetzen.
Mechanismus der Cookie-Fälschung
Die Verwundbarkeit resultiert aus der Art und Weise, wie die PAN-OS-Software die Funktion zur Authentifizierungsüberbrückung, das sogenannte Authentication Override, verarbeitet. Diese optionale Funktion ermöglicht es dem VPN-Gateway, nach einer erfolgreichen Erstanmeldung temporäre Identifikationsdateien in Form von Cookies an den Client auszugeben. Bei zukünftigen Verbindungsaufbauen kann der Benutzer dieses Cookie als Inhabernachweis vorlegen, anstatt die vollständigen Zugangsdaten oder Multi-Faktor-Authentisierungen erneut eingeben zu müssen.
Der architektonische Fehler liegt in der serverseitigen Validierung dieser Cookies begründet. Wenn ein GlobalProtect-Gateway ein solches Cookie empfängt, entschlüsselt das System den Inhalt unter Verwendung eines konfigurierten privaten kryptografischen Schlüssels. Nach der Entschlüsselung vertraut die Software dem enthaltenen Datenstrom jedoch blind, ohne eine explizite Verifizierung der digitalen Signatur oder eine Integritätsprüfung des Inhalts durchzuführen.
Wenn Administratoren für die Verschlüsselung dieser Cookies dasselbe digitale Zertifikat verwenden, das auch für den regulären HTTPS-Webdienst des GlobalProtect-Portals zum Einsatz kommt, entsteht eine kritische Expositionsfläche. Da der öffentliche Schlüssel dieses Zertifikats über die normale HTTPS-Sitzung für jedermann frei im Internet auslesbar ist, können Angreifer diesen abfangen. Mit dem öffentlichen Schlüssel sind die Täter in der Lage, mathematisch valide, gefälschte Authentifizierungs-Cookies für beliebige Benutzerkonten, einschließlich des lokalen Administrator-Kontos, zu generieren.
Auswirkungen der Ausnutzung und Veröffentlichung des Test-Skripts
Um die Validierung von Schutzmaßnahmen zu unterstützen, haben die Forscher von Rapid7 Labs einen funktionsfähigen Proof-of-Concept-Exploit entwickelt und veröffentlicht. Dieses Test-Skript automatisiert das Abrufen der öffentlichen Zertifikatskette eines erreichbaren GlobalProtect-Portals und versucht, für jedes extrahierte Schlüsselmaterial ein gefälschtes Cookie zu erzeugen. Bei Tests gegen ungesicherte Gateways erwies sich das Verfahren als zuverlässig.
Die praktischen Konsequenzen einer erfolgreichen Ausnutzung variieren je nach Zielumgebung. In den von Rapid7 untersuchten Vorfällen akzeptierten viele Appliances das gefälschte Cookie und ordneten dem Angreifer eine interne IP-Adresse zu, was einen direkten Zugriff auf das interne Unternehmensnetzwerk ermöglichte. Hinweise auf erfolgreiche laterale Bewegungen, also das Weiterwandern der Angreifer von der VPN-Appliance auf nachgelagerte interne Server, wurden in den dokumentierten Fällen bis zum 29. Mai 2026 noch nicht beobachtet. Der Explosionsradius ist dennoch als kritisch einzustufen, da die Angreifer theoretisch alle Rechte des betroffenen Benutzerprofils erlangen.
Verfügbare Software-Updates und temporäre Abschwächungsmaßnahmen
Palo Alto Networks hat umfassende Updates für die betroffenen Versionen seiner PAN-OS-Software bereitgestellt. Die Korrekturen sind in den Versionen 12.1.7, 11.2.12, 11.1.15 und 10.2.18-h6 sowie in allen nachfolgenden Iterationen integriert. Der Hersteller weist darauf hin, dass nach dem Einspielen des Updates alle bestehenden Authentifizierungs-Cookies aus Sicherheitsgründen regeneriert werden, weshalb sich Endanwender einmalig neu authentifizieren müssen.
Für Umgebungen, in denen ein sofortiges Einspielen des Kernel-Updates nicht möglich ist, stehen zwei administrative Abschwächungsmaßnahmen zur Verfügung. Die effektivste Übergangslösung besteht darin, die Funktion zur Generierung und Akzeptanz von Cookies für die Authentifizierungsüberbrückung in den Einstellungen des GlobalProtect-Portals und des Gateways vollständig zu deaktivieren. Alternativ können Administratoren ein dediziertes, eigenständiges Zertifikat ausschließlich für die Cookie-Verschlüsselung generieren. Dieses Zertifikat darf nicht mit anderen HTTPS-Diensten geteilt werden und kann als selbstsignierte Variante direkt auf der Firewall hinterlegt werden, um das Auslesen des öffentlichen Schlüssels über das Web zu verhindern.
Implikationen für die IT-Governance und das IT-Risikomanagement
Die Entdeckung und schnelle Ausnutzung einer Schwachstelle im VPN-Perimeter hat direkte Auswirkungen auf das IT-Sicherheitsmanagement, die IT-Governance und das übergeordnete IT-Risikomanagement in modernen Unternehmen. Das strategische Management kann den Schutz externer Netzwerkschnittstellen nicht mehr als rein infrastrukturelle Aufgabe betrachten. Da VPN-Gateways die physische Verbindung zwischen dem öffentlichen Internet und der internen Unternehmensinfrastruktur herstellen, bilden sie das primäre Ziel für zielgerichtete Angriffe staatlicher oder ökonomisch motivierter Akteure. Eine vorausschauende IT-Governance darf die Verwaltung von Sicherheitszertifikaten und Authentifizierungstoken nicht als rein operative Routine betrachten. Es müssen strikte Compliance-Richtlinien etabliert werden, die das Wiederverwenden identischer Zertifikatsstrukturen für unterschiedliche Dienste kategorisch untersagen.
Das IT-Sicherheitsmanagement steht vor der Aufgabe, ein kontinuierliches Monitoring aller VPN-Sitzungsprotokolle zu implementieren, um ungewöhnliche Cookie-Authentisierungen ohne vorherige Credentials-Eingabe in Echtzeit zu identifizieren. Das strategische IT-Risikomanagement muss den Schutz der Netzwerkgrenzen im Jahr 2026 auf Basis von Zero-Trust-Architekturen neu bewerten, um sicherzustellen, dass eine potenzielle Kompromittierung des VPN-Gateways nicht automatisch zu einer unkontrollierten Gefährdung der nachgelagerten Serverlandschaften führt.
