Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Free

Root-Zugriff auf Firewalls: PAN-OS-Lücke wird aktiv ausgenutzt : CVE-2026-0300 trifft exponierte User-ID-Portale in PAN-OS

Eine kritische Schwachstelle in PAN-OS rückt Firewalls selbst ins Zentrum der Angriffskette. Angreifer können über das User-ID-Authentifizierungsportal Schadcode mit Root-Rechten ausführen. Erste Ausnutzungsversuche reichen offenbar bis zum 9. April 2026 zurück.

THN/Stefan Mutschler (freier Journalist)BedrohungenNetzwerksicherheit
Lesezeit 3 Min.

Palo Alto Networks warnt vor einer aktiv ausgenutzten Schwachstelle in PAN-OS. Die Lücke wird als CVE-2026-0300 geführt und betrifft das User-ID-Authentifizierungsportal, auch Captive Portal genannt. Technisch handelt es sich um einen Pufferüberlauf: Speziell präparierte Netzwerkpakete können dazu führen, dass ein nicht angemeldeter Angreifer beliebigen Code auf betroffenen Firewalls ausführt, und zwar mit Root-Rechten. Betroffen sind PA-Series- und VM-Series-Firewalls, wenn das Portal aktiviert und aus nicht vertrauenswürdigen Netzen erreichbar ist. Palo Alto Networks bewertet die Schwachstelle mit 9,3 im Common Vulnerability Scoring System (CVSS) und stuft die Dringlichkeit als „Highest“ ein.

Warum diese Lücke so gefährlich ist

Firewalls stehen am Netzrand, sehen viel Verkehr und besitzen weitreichende Rechte. Genau deshalb sind sie für Spionagegruppen besonders attraktiv. Wer eine Firewall übernimmt, befindet sich nicht einfach auf einem weiteren Server, sondern an einem strategischen Kontrollpunkt zwischen internen und externen Netzen.

Unit 42, die Bedrohungsforschung von Palo Alto Networks (PAN), beschreibt den Kern des Angriffs so: Der Angreifer habe CVE-2026-0300 genutzt, um eine nicht authentifizierte entfernte Codeausführung in PAN-OS zu erreichen. Nach erfolgreicher Ausnutzung sei Shellcode in einen Nginx-Arbeitsprozess eingeschleust worden. Damit wird klar: Es geht nicht nur um einen Absturz oder eine Störung, sondern um unmittelbare Codeausführung auf einem sicherheitskritischen System.

Angriffsspuren wurden gezielt verwischt

Nach Angaben von Palo Alto wurden bereits ab dem 9. April 2026 erfolglose Ausnutzungsversuche beobachtet. Etwa eine Woche später gelang den Angreifern offenbar die Codeausführung auf einem betroffenen Gerät. Die Aktivität wird unter CL-STA-1132 verfolgt, einem mutmaßlich staatlich unterstützten Bedrohungscluster bislang unbekannter Herkunft.

Nach dem ersten erfolgreichen Zugriff versuchten die Angreifer, ihre Spuren auf dem Gerät zu verwischen. Sie entfernten Hinweise auf Abstürze und Fehler, die durch den Angriff entstanden sein könnten. Dazu gehörten Meldungen des Betriebssystemkerns, Einträge zu Nginx-Abstürzen, weitere Nginx-Protokolle sowie sogenannte Core-Dump-Dateien. Solche Dateien können nach einem Programmabsturz entstehen und wichtige Hinweise auf die Ursache liefern.

Anschließend gingen die Angreifer weiter ins Netzwerk vor. Sie sammelten Informationen aus Active Directory, also aus dem zentralen Verzeichnisdienst, in dem unter anderem Benutzer, Computer, Gruppen und Zugriffsrechte verwaltet werden. Außerdem setzten sie am 29. April 2026 auf einem zweiten Gerät zusätzliche Werkzeuge ein, darunter EarthWorm und ReverseSocks5. Beide Programme können dazu dienen, Netzwerkverbindungen umzuleiten oder verdeckte Zugänge aufzubauen. Sie wurden bereits früher bei Angriffen beobachtet, die verschiedenen China-nahen Gruppen zugeschrieben werden.

Edge-Systeme bleiben ein bevorzugtes Ziel

Die Angriffswahl passt zu einem seit Jahren sichtbaren Muster. Unit 42 formuliert es deutlich: „Staatliche Spionageakteure haben sich in den vergangenen fünf Jahren zunehmend auf technische Anlagen am Netzrand konzentriert, darunter Firewalls, Router, Geräte des Internets der Dinge, Hypervisoren und verschiedene Lösungen für VPNs. Diese Systeme verfügen über hohe Rechte, erfahren aber oft nicht dieselbe robuste Protokollierung und Sicherheitsüberwachung wie klassische Endgeräte.“

Damit wird deutlich, warum solche Systeme für Angreifer so attraktiv sind: Sie stehen an strategisch wichtigen Stellen im Netzwerk, werden aber häufig schlechter überwacht als Server, Arbeitsplätze oder mobile Endgeräte.

Besonders problematisch ist die Kombination aus öffentlich erreichbarer Angriffsfläche und unauffälliger Werkzeugwahl. Laut Unit 42 setzten die Angreifer hinter CL-STA-1132 auf frei verfügbare Werkzeuge statt auf proprietäre Schadsoftware. Das senke die Erkennung durch Signaturen und erleichtere die Einbettung in die Zielumgebung. Interaktive Sitzungen über mehrere Wochen blieben zudem unter vielen automatischen Alarmschwellen.

Was Unternehmen jetzt tun sollten

Patches sollen laut Hersteller ab dem 13. Mai 2026 bereitgestellt werden. Bis dahin sollten betroffene Unternehmen die Angriffsfläche sofort reduzieren und exponierte Konfigurationen prüfen.

  • Zugriff auf das PAN-OS User-ID-Authentifizierungsportal nur aus vertrauenswürdigen Zonen erlauben
  • Das Portal vollständig deaktivieren, wenn es nicht benötigt wird
  • Response Pages im Interface Management Profile für jede Layer-3-Schnittstelle deaktivieren, über die nicht vertrauenswürdiger oder Internetverkehr eingehen kann
  • Bei Advanced Threat Prevention die Threat-ID 510019 ab Applications and Threats Content Version 9097-10022 aktivieren

Für Sicherheitsverantwortliche ist CVE-2026-0300 damit mehr als eine weitere kritische Schwachstelle. Der Fall zeigt, dass Edge-Systeme nicht nur gehärtet, sondern kontinuierlich überwacht, sauber segmentiert und in forensische Prozesse eingebunden werden müssen. Wer Firewalls als blinde Vertrauensanker behandelt, übersieht genau den Ort, an dem moderne Spionagekampagnen immer häufiger beginnen.

Weitere Artikel zum Thema: 

GenAI: produktiv und riskant

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.