CISA warnt vor ausgenutzter Schwachstelle in Palo Alto PAN-OS, die Root-Zugriff ermöglicht

Im Kern 2026-0300 liegt eine Pufferüberlauf-Schwachstelle (out-of-bounds write) im PAN-OS User-ID Authentication Portal, allgemein als Captive Portal Service bekannt. Als CWE-787 klassifiziert, handelt es sich bei dieser Speicher-Korruptions-Lücke um einen Fehler, der auftritt, wenn die Software Daten jenseits der beabsichtigten Speicher-Puffer-Grenze schreibt.

Angreifer können diese Schwachstelle aktiv ausnutzen, indem sie speziell gestaltete Pakete an den betroffenen Captive Portal Service senden. Im Erfolgsfall gewährt der Exploit dem Angreifer die Möglichkeit, beliebigen Code mit Root-Rechten auszuführen. Dieser umfassende Zugriff führt zu einer vollständigen Kompromittierung der Sicherheitsapplikation.

Angreifer mit Root-Berechtigungen können etablierte Sicherheitsrichtlinien leicht umgehen, vertrauliche Netzwerkverkehr abfangen, Konfigurationsdateien ändern oder die kompromittierte Firewall als Sprungbrett nutzen, um weitere Angriffe tief in das interne Netzwerk zu starten. Die Schwachstelle betrifft sowohl die physischen PA-Series- als auch die virtualisierten VM-Series-Firewalls, die anfällige Versionen ühren.

Aktive Ausnutzung und Bedrohungslandschaft Durch die

Aktive Ausnutzung und Bedrohungslandschaft Durch die Aufnahme dieses Mangels in sein Verzeichnis der aktiv ausgenutzten Schwachstellen bestätigt das CISA, dass Bedrohungsakteure ihn in realen Angriffen einsetzen. Obwohl Sicherheitsforscher derzeit nicht wissen, ob der Exploit in aktiven Ransomware-Kampagnen genutzt wird, macht die Schwere des unberechtigten Root-Zugangs diese Schwachstelle zu einer hochgradig gefährlichen.

Netzwerk-Edge-Geräte, wie beispielsweise Palo Alto-Firewalls, stellen hochattraktive Ziele für Advanced Persistent Threats (APT) dar, da sie sich außerhalb traditioneller interner Sicherheitsperimeter befinden und einen direkten Zugang zu Unternehmensumgebungen ermöglichen.

Bundesbehörden der zivilen Exekutive sind gemäß der verbindlichen operativen Direktive (BOD) 22-01 gesetzlich verpflichtet, ihre Systeme bis zum strengen Fristtermin vom 9. Mai 2026 vor dieser spezifischen Bedrohung zu schützen. Da ein offizielles, dauerhaftes Patch nicht veröffentlicht ist, müssen Organisationen unverzüglich vorübergehende Workarounds implementieren, um ihre Umgebungen zu schützen.

Moegliche Anwendungen

Sicherheitsteams sollten den Netzwerkzugriff auf das User-ID-Authentifizierungsportal sofort einschränken und sicherstellen, dass dieses ausschließlich aus streng vertrauenswürdigen internen Zonen erreichbar ist, nicht jedoch aus dem öffentlichen Internet.

Organisationen müssen in einem Zustand hoher Wachsamkeit bleiben, die offiziellen Kommunikationen des Herstellers genau überwachen und bereit sein, den offiziellen Firmware-Update so schnell wie möglich nach dessen Veröffentlichung für die Öffentlichkeit einzusetzen.

Cyberkriminelle dringen nun über Ihre Lieferanten ein, statt durch Ihre Haustür – Kostenloses Webinar Der Beitrag „CISA warnt vor einer ausgenutzten Schwachstelle in Palo Alto PAN-OS, die zum Erwerb " erschien erstmals bei Cyber Security News.