Palo Alto Networks-Firewall: Zero-Day-Schwachstelle seit April im Einsatz

Die Schwachstelle erlaubt die Ausführung (RCE) ohne Authentifizierung gegenüber internetexponierten PAN-OS-Installationen, bei denen das User-ID Authentication Portal auf nicht vertrauenswürdige Netzwerke zugreifbar ist. Bei erfolgreicher Ausnutzung können Angreifer Shellcode direkt in einen nginx-Worker-Prozess injizieren und damit tiefgreifenden, persistenten Zugriff auf das zugrundeliegende System erlangen.

Prisma Access, Cloud NGFW und Panorama Appliances sind nicht betroffen. Das Risiko steigt erheblich, wenn das Authentifizierungsportal öffentlich erreichbar ist; daher stellen Netzwerksegmentierung und Zugriffsbeschränkung die dringendsten Gegenmaßnahmen dar.

Das Bedrohungsintelligenz-Team (Unit 42) verfolgt die Ausnutzungsaktivitäten unter der Cluster-Bezeichnung CL-STA-1132, die einem wahrscheinlich staatlich unterstützten Akteur zugeschrieben werden. Die Kampagnen-Zeitleiste zeigt einen geplanten und methodischen Ansatz, der am 9. April 2026 begann, als erfolglose Ausnutzungsversuche an einem PAN-OS-Gerät protokolliert wurden.

Eine Woche später gelang den Angreifern

Eine Woche später gelang den Angreifern eine erfolgreiche Remote Code Execution (RCE), und sie injizierten Shellcode. Unmittelbar nach der Kompromittierung führten sie aggressive Log-Zerstörungen durch: Sie löschten Kernel-Crash-Meldungen, nginx-Crash-Einträge und -Aufzeichnungen sowie Core-Dump-Dateien, um forensische Ermittlungen zu erschweren.

Vier Tage nach dem ersten Kompromittierungsvorfall setzten die Angreifer mehrere Werkzeuge mit Root-Rechten ein und begannen mit der Enumeration, die vom Firewall-System gestohlen wurden. Das Ziel waren der Domain-Root sowie DomainDnsZones. Spuren (SUID)-Privilegien-Eskalations-Binaries wurden anschließend aus den Audit-Logs gelöscht, um ihre Spur weiter zu minimieren. Am 29.

April 2026 führten die Angreifer einen SAML-Flut-Angriff gegen das erste kompromittierte Gerät durch, wodurch ein sekundäres Gerät in den aktiven Status überführt und dieselbe internetseitige Verkehrs-Konfiguration erbt. Anschließend wurde Remote Code Execution (RCE) auf diesem zweiten Gerät ermöglicht, indem zwei Open-Source-Tunneling-Werkzeuge, Earthworm und ReverseSocks5, heruntergeladen und installiert wurden.

Die Angreifer setzten ausschließlich öffentlich verfügbare

Die Angreifer setzten ausschließlich öffentlich verfügbare Werkzeuge ein und nicht proprietäre Malware; dies war eine bewusste Entscheidung, um die Wahrscheinlichkeit einer Erkennung durch signaturbasierte Systeme zu minimieren.

EarthWorm, ein quelloffener Netzwerk-Tunneling-Tool, das in C geschrieben ist und Windows, Linux, macOS sowie ARM/MIPS-Plattformen unterstützt, wurde eingesetzt, um verdeckte SOCKS5-Proxy-Tunnel und mehrstufige, kaskadierte Netzwerkpfade herzustellen (MITRE ATT&CK T1090, T1572). EarthWorm wurde bereits mit Bedrohungsklustern wie Volt Typhoon, APT41, UAT-8337 und CL-STA-0046 in Verbindung gebracht.

ReverseSocks5 wurde genutzt, um ausgehende Verbindungen äten zu einem vom Angreifer kontrollierten Controller herzustellen, wodurch Firewall- und NAT-Beschränkungen umgangen wurden, um den Datenverkehr über einen SOCKS5-Proxy-Tunnel ins interne Netzwerk zu leiten.

Organisationen sollten eine der folgenden Sofortmaßnahmen

Organisationen sollten eine der folgenden Sofortmaßnahmen ergreifen: Erstens den Zugriff auf das Benutzer-ID-Authentifizierungsportaal ausschließlich auf vertrauenswürdige interne Zonen beschränken und Response Pages im Interface-Management-Profil an allen L3-Schnittstellen deaktivieren, die ürdigen oder internetexponiertem Datenverkehr erreichbar sind.

Zweitens das Authentifizierungsportaal vollständig deaktivieren, sofern es nicht betriebsnotwendig ist.

Indikatoren für Kompromittierungen Indikator | Typ | Beschreibung 67.206.213[.]86 | IP-Adresse | Infrastruktur des Angreifers 136.0.8[.]48 | IP-Adresse | Infrastruktur des Angreifers 146.70.100[.]69 | IP-Adresse | C2-Vorbereitungsserver 149.104.66[.]84 | IP-Adresse | Infrastruktur des Angreifers hxxp[:]//146.70.100[.]69:8000/php_sess | URL | EarthWorm-Download-URL hxxps[:]//github[.]com/Acebond/ReverseSocks5/releases/download/v2.2.0/ReverseSocks5-v2.2.0-linux-amd64.tar[.]gz | URL | ReverseSocks5-Download-URL e11f69b49b6f2e829454371c31ebf86893f82a042dae3f2faf63dcd84f97a584 | SHA-256-Hash | EarthWorm-Binärdatei Safari/532.31 Mozilla/5.5 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36 Edg/138.0.0.0 | User-Agent | User-Agent-String des Angreifers /var/tmp/linuxap, /var/tmp/linuxda, /var/tmp/linuxupdate | Dateipfad | Artefakte /tmp/.c | Dateipfad | Unbekannte Python-Skript /tmp/R5, /var/R5 | Dateipfad | Pfade zur ReverseSocks5-Binärdatei Hinweis: IP-Adressen und Domains wurden absichtlich „defanged" (z.

Messwerte und Ergebnisse

B. durch [.] ) dargestellt, um eine unbeabsichtigte Auflösung oder Hyperlinkung zu verhindern. Die Re-Fang-Maßnahmen sind ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen. Cyberkriminelle dringen nun über Ihre Lieferanten ein, nicht mehr über Ihre Haustür – Kostenloser Webinar-Teilnahme.

Der Beitrag „Palo Alto Networks Firewall Zero-Day RCE-Schwachstelle wird seit April im Wilden ausgenutzt" erschien erstmals auf Cyber Security News.