Thought Leadership
Eine kritische Sicherheitslücke in PAN-OS wird bereits aktiv ausgenutzt. Palo Alto Networks arbeitet an Patches. Die ersten sollen am 13. Mai erscheinen.
Palo Alto Networks bereitet derzeit Patches für eine kritische Zero-Day-Schwachstelle in PAN-OS vor, die bereits aktiv für Angriffe auf Firewalls des Herstellers genutzt wird. Die unter der Kennung CVE-2026-0300 geführte Lücke betrifft den User-ID Authentication Portal-Dienst (Captive Portal) und basiert auf einem Buffer Overflow.
Root-Rechte ohne Authentifizierung
Betroffen sind Firewalls der PA- und VM-Serie. Über speziell präparierte Pakete können nicht authentifizierte Angreifer aus der Ferne beliebigen Code mit Root-Rechten ausführen.
In einem Sicherheitshinweis bestätigt das Unternehmen, dass es bereits zu Angriffen gekommen ist. Man habe eine „begrenzte Ausnutzung“ gegen User-ID Authentication Portals beobachtet, die gegenüber nicht vertrauenswürdigen IP-Adressen oder dem öffentlichen Internet exponiert seien.
Weitere Details zu den Angriffen nennt der Hersteller nicht. Formulierungen wie „limited exploitation“ deuten in der Branche allerdings üblicherweise auf gezielte Attacken durch hochprofessionelle Akteure hin, häufig staatlich gesponserte Gruppen.
Zwei Patch-Runden geplant
Die ersten Sicherheitsupdates sollen am 13. Mai veröffentlicht werden, eine zweite Welle ist für den 28. Mai vorgesehen. Bis dahin müssen Administratoren auf Workarounds zurückgreifen.
Palo Alto Networks weist darauf hin, dass nur Geräte verwundbar sind, auf denen das User-ID Authentication Portal aktiv konfiguriert ist. Wer den Zugriff auf das Portal auf vertrauenswürdige interne IP-Adressen beschränkt, reduziert das Risiko deutlich. Cloud-Produkte wie Prisma Access, Cloud NGFW sowie die Management-Lösung Panorama sind laut Hersteller nicht betroffen.
