Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

PAN-OS: Aktiv ausgenutzte Firewall-Lücke wird erst in einer Woche gepatcht

Angreifer kapern durch speziell gestaltete Datenpakete ganze Firewalls von Palo Alto Networks. Einen Patch dagegen gibt es frühestens ab dem 13. Mai.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Wer eine Firewall von Palo Alto Networks administriert, sollte dringend handeln. (Bild: pixabay.com / Waukesha)
Wer eine Firewall von Palo Alto Networks administriert, sollte dringend handeln. Bild: pixabay.com / Waukesha

Der Firewall-Hersteller Palo Alto Networks (PAN) hat eine Warnung vor einer kritischen Sicherheitslücke in seinen Firewalls herausgegeben(öffnet im neuen Fenster). Angreifer können damit Schadcode auf anfällige Systeme schleusen und als Root zur Ausführung bringen. Entsprechende Attacken wurden auch bereits beobachtet. Da noch kein Patch verfügbar ist, müssen sich Admins vorerst mit Workarounds zufrieden geben.

Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-0300(öffnet im neuen Fenster). Der Hersteller schreibt ihr einen CVSS-Wert von 9,3 und damit einen kritischen Schweregrad zu. Ursache ist laut Beschreibung ein möglicher Pufferüberlauf im User-ID Authentication Portal (auch bekannt als Captive Portal) des Firewall-Betriebssystems PAN-OS.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Auch das Cert-EU gab zu der Lücke eine Warnung heraus(öffnet im neuen Fenster). Angreifer können demnach eigenen Code mit Root-Rechten zur Ausführung bringen, indem sie ein speziell gestaltetes Paket an ein anfälliges Gerät senden. Betroffen sind Firewalls der Serien PA und VM sowie mehrere PAN-OS-Versionen von 10.2 bis einschließlich 12.1. Prisma-Access-, Cloud-NGFW- und Panorama-Appliances sollen hingegen nicht anfällig sein.

Noch kein Patch verfügbar

Damit sich CVE-2026-0300 ausnutzen lässt, muss auf den anfälligen Firewalls das User-ID-Authentication-Portal aktiv sein. Zudem muss es ein Interface-Management-Profil geben, welches einer über das Internet erreichbaren Schnittstelle zugeordnet ist. An dieser Stelle setzen auch die vom Hersteller empfohlenen Workarounds an. Denn ein Patch soll frühestens am 13. Mai erscheinen, je nach PAN-OS-Version sogar erst am 28. Mai.

Admins sollten also laut Palo Alto Networks das User-ID-Authentication-Portal deaktivieren, sofern dieses nicht benötigt wird. Alternativ sollte der Zugriff darauf auf vertrauenswürdige Quellen beschränkt werden. Nähere Details dazu sind im Advisory des Herstellers(öffnet im neuen Fenster) zu finden. Da bereits Angriffe beobachtet wurden, sollten Admins zügig handeln.

Weltweit sind laut den Scans der Shadowserver Foundation(öffnet im neuen Fenster) derzeit mehr als 5.800 PAN-Firewalls über das Internet erreichbar – davon 815 innerhalb Europas und 76 in Deutschland. Wie viele davon über CVE-2026-0300 angreifbar sind, ist allerdings nicht bekannt. Wer sich für nähere Details zu den beobachteten Angriffen interessiert, findet diese in einem Bericht der Unit 42 von Palo Alto Networks(öffnet im neuen Fenster).

Zur Startseite Kommentare

Relevante Themen

Updates & PatchesNetzwerkhardwareTechnik/HardwareSecuritySicherheitslückeCybercrimeWirtschaftUnternehmen