Wer in seinem Netz eine Palo-Alto-Firewall mit aktiviertem GlobalProtect-Portal oder -Gateway betreibt, sollte diesen Artikel nicht für später weglegen. Seit dem 17. Mai 2026 wird CVE-2026-0257 aktiv ausgenutzt — eine Schwachstelle, die es Angreifern erlaubt, sich ohne gültige Zugangsdaten eine VPN-Verbindung zu verschaffen. Betroffen sind PAN-OS-Installationen, bei denen Authentication-Override-Cookies aktiviert sind und eine spezifische Zertifikatskonfiguration vorliegt. Patches gibt es, Workarounds auch — beides erfordert Handeln.
Wie die Lücke funktioniert: Signatur-Prüfung vergessen
Der Fehler steckt in der Art, wie PAN-OS mit Authentifizierungs-Cookies für GlobalProtect umgeht. Das System verschlüsselt diese Cookies mit einem konfigurierten Private Key — überprüft beim Entschlüsseln aber die Signatur nicht. Wer dasselbe Zertifikat für den HTTPS-Dienst des Portals und die Authentifizierungs-Funktion einsetzt, liefert Angreifern den nötigen öffentlichen Schlüssel frei Haus: genug, um gültig aussehende Cookies zu fälschen und damit einen Zugang vorzutäuschen.
Palo Alto hatte die Lücke zunächst als Medium eingestuft (CVSS 4.0: 7.8). Nach Bekanntwerden der aktiven Ausnutzung wurde sie auf High hochgestuft. CISA hat CVE-2026-0257 ins Known Exploited Vulnerabilities Catalog aufgenommen. Cloud NGFW und Panorama sind nicht betroffen.
Zwei Angriffswellen seit Mitte Mai
Die Sicherheitsforscher von Rapid7 haben Angriffe in mehreren Kundenumgebungen dokumentiert. Die erste Welle startete am 17. Mai von Vultr-Infrastruktur, eine zweite folgte am 21. Mai über Dromatics Systems. Die Analyse legt nahe, dass beide Wellen vom selben Akteur stammen — Ziel war durchgängig das Fälschen von Cookies für lokale Administrator-Konten.
In vielen Fällen konnten Angreifer eine VPN-IP-Zuweisung erhalten — also prinzipiell einen Fuß ins interne Netz setzen. Eine vollständige VPN-Session ließ sich laut BleepingComputer in mehreren Fällen trotzdem nicht aufbauen. Das ist wenig Trost: Wer auf VPN-Ebene eine IP zugewiesen bekommt, hat unter Umständen schon mehr gesehen als er sollte.
Bei einem meiner Kunden läuft eine Palo-Alto-Firewall mit GlobalProtect seit Jahren im Einsatz — für Remote-Zugriffe auf interne Server, klassisches KMU-Setup. Genau dieser Typ Meldung landet da morgen früh als erstes auf dem Tisch: VPN-Zugang, Administrator-Cookies, aktiv ausgenutzt. Da zählt jede Stunde.
Patches und Workarounds: Was jetzt zu tun ist
Palo Alto hat Fixes bereitgestellt. Die betroffenen PAN-OS-Versionen und ihre Zielstände:
- PAN-OS 12.1: auf 12.1.4-h6 oder 12.1.7+ aktualisieren
- PAN-OS 11.2: 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 oder 11.2.12+
- PAN-OS 11.1: 11.1.15 oder verfügbare Hotfixes
- PAN-OS 10.2: 10.2.18-h6 oder verfügbare Hotfixes
- Prisma Access 10.2 und 11.2: jeweilige Hotfixes
Wer nicht sofort patchen kann, hat zwei Workarounds: erstens die Authentication-Override-Cookie-Funktion in GlobalProtect vollständig deaktivieren; zweitens ein dediziertes Zertifikat ausschließlich für die Override-Funktion ausstellen, damit der öffentliche Schlüssel des Portal-Zertifikats nicht mehr zur Fälschung missbraucht werden kann. Nach dem Patch müssen sich Nutzer einmalig neu authentifizieren — die bestehenden Cookies werden ungültig.
US-Bundesbehörden haben per CISA-Anordnung bis zum 1. Juni 2026 Zeit. Für alle anderen gilt das gleiche Zeitfenster — nicht aus Regulierungsgründen, sondern weil die Angreifer seit zwei Wochen aktiv sind und das Angriffsmuster bekannt ist.
VPN-Gateways sind bei gezielten Angriffen das erste, was Angreifer unter die Lupe nehmen: exponiert, oft mit privilegierten Konten konfiguriert, häufig mit verzögertem Patch-Rhythmus in der Praxis. CVE-2026-0257 bedient genau dieses Profil. Wer GlobalProtect betreibt, sollte das Wartungsfenster jetzt einplanen — und nicht erst, wenn Rapid7 die nächste Incident-Response meldet.
