Palo Alto PAN-OS-Schwachstelle ermöglicht Angreifern Root-Zugriff und beliebige Befehle

Dabei handelt es sich um eine Privilegieneskalation über die CLI (CVE-2026-0272) und einen Denial-of-Service-Fehler im Tunnelverkehr (CVE-2026-0269). Die Hauptlücke CVE-2026-0273 betrifft PA-Series- und VM-Series-Firewalls sowie Panorama-Management-Systeme, die bestimmte Versionen 12.1, 11.2, 11.1 oder 10.2 betreiben.

Die Sicherheitsbewertung nach CVSS v4.0 liegt bei 6,1. Die Ursache liegt in einer unzureichenden Eingabebehandlung, die es einem berechtigten Nutzer erlaubt, Systembeschränkungen zu umgehen und direkte Betriebssystembefehle mit höchsten Rechten zu starten. Eine spezielle Konfiguration ist für die Ausnutzung nicht notwendig.

Jedes Gerät ist gefährdet, sobald ein privilegiertes Benutzerkonto Zugriff auf das verwundbare Management-Interface hat. Palo Alto Networks weist explizit darauf hin, dass Cloud-basierte Next-Generation-Firewalls (Cloud NGFW) und Prisma Access sind. Die zweite Lücke, CVE-2026-0272, ermöglicht eine Privilegieneskalation im CLI-Interface.

Sicherheitslage und Risiko

Auch hier können authentisierte Administratoren Aktionen mit Root-Rechten durchführen. Sie betrifft dieselben Gerätetypen und PAN-OS-Versionen wie die Command Injection, schließt jedoch ebenfalls Cloud-Lösungen aus.

Der dritte Fehler, CVE-2026-0269, ist ein Speicher-Korruptionsfehler bei der Verarbeitung durch das Senden speziell konstruierter Pakete eine Firewall wiederholt neu starten. Dies betrifft Geräte, die mit IPsec-Tunneln oder GlobalProtect-Gateways konfiguriert sind.

Durch wiederholte Angriffe kann der Betrieb in einen Wartungsmodus versetzt werden, was die Verfügbarkeit beeinträchtigt. Zum Zeitpunkt der Veröffentlichung gab Palo Alto Networks an, dass keine böswillige Ausnutzung dieser drei Schwachstellen bekannt ist.

Sicherheitslage und Risiko

Die Patches für CVE-2026-0272 und CVE-2026-0269 sind in den neuesten „-h"-Hotfixes sowie in nachfolgenden Wartungsversionen für jede Versionstrain enthalten. Betreiber älterer, nicht mehr unterstützter PAN-OS-Versionen werden dringend aufgefordert, auf eine gepatchte Version aufzurüsten, da reine Konfigurationsmaßnahmen hier nicht ausreichen.

Palo Alto Networks empfiehlt folgende Schutzmaßnahmen: * Beschränkung des Verwaltungszugriffs auf vertrauenswürdige interne IP-Adressen. * Limitierung des CLI-Zugriffs auf eine kleine, definierte Gruppe. * Einsatz einer gehärteten Jump-Box als einziger Host mit Zugriff auf die Firewall-Verwaltungsschnittstellen, um das Risiko des Missbrauchs gestohlener Zugangsdaten zu minimieren.

Kunden mit einem Threat Prevention-Abonnement können Angriffsversuche gegen CVE-2026-0273 zusätzlich blockieren, indem sie die entsprechenden Threat IDs aktivieren. Voraussetzung dafür ist, dass der Managementverkehr über eine Datenebene-Schnittstelle geleitet und entschlüsselt wird, damit die Firewall ihn inspizieren kann.

Sicherheitslage und Risiko

Für den Denial-of-Service-Bug (CVE-2026-0269) gibt der Hersteller keine praktische Umgehungsmöglichkeit an. Kunden werden angewiesen, auf den gepatchten Code zu aktualisieren und die Exposition ihrer Tunnelverbindungen zu überprüfen.

Obwohl alle drei Lücken einen authentifizierten Zugriff erfordern, bieten sie nach einer Kompromittierung starke Hebelwirkungen: Angreifer können Root-Rechte übernehmen oder VPN- und Remote-Zugriffsdienste stören. Daher sollten Patches priorisiert werden, wenn Verwaltungs- oder Tunnel-Endpunkte aus halb vertrauenswürdigen Netzwerken erreichbar sind.

SvyTech-Einordnung Die drei behobenen Schwachstellen zeigen ein klares Muster: Sie erfordern zwar einen legitimen Login, gewähren Angreifern aber nach der Authentifizierung sofortige Kontrolle über das System (Root-Zugriff) oder die Verfügbarkeit (DoS). Besonders kritisch ist hier, dass keine speziellen Konfigurationen nötig sind, um die Lücke auszunutzen.

Technischer Hintergrund

Die Empfehlung zur Nutzung einer Jump-Box ist in diesem Kontext essenziell, da sie den direkten Zugriff die Management-Interfaces unterbricht. Was Leser daraus mitnehmen Administratoren sollten umgehend prüfen, ob ihre Firewalls und Panorama-Systeme auf den betroffenen PAN-OS-Versionen laufen und das Update installieren.

Da Cloud-Lösungen wie Prisma Access nicht betroffen sind, müssen sich Unternehmen primär auf ihre On-Premise-Infrastruktur konzentrieren. Wer über ein Threat Prevention-Abonnement verfügt, sollte die spezifischen Threat IDs aktivieren, um Angriffsversuche bereits im Netzwerk zu erkennen und zu blockieren, bevor sie erfolgreich sind.