SecBoard
Alle Insights
KritischCVE WatchScore: 88/100

CVE-2026-0257: Aktiv ausgenutzter Auth-Bypass in Palo Alto GlobalProtect (PAN-OS)

24. Juni 2026
CVE-2026-0257: Aktiv ausgenutzter Auth-Bypass in Palo Alto GlobalProtect (PAN-OS)

Kurzfazit

Palo Alto Networks bestätigt die aktive Ausnutzung einer Authentifizierungs-Umgehung im GlobalProtect-Portal und -Gateway von PAN-OS. Ein nicht authentifizierter Angreifer kann eine unautorisierte VPN-Verbindung aufbauen. CISA führt die Lücke im KEV-Katalog - Edge-Systeme sofort prüfen.

Was ist passiert?

Palo Alto Networks bestätigt die aktive Ausnutzung von CVE-2026-0257, einer Authentifizierungs-Umgehung im GlobalProtect-Portal und -Gateway von PAN-OS. Ein nicht authentifizierter Angreifer kann die Sicherheitsprüfungen umgehen und eine unautorisierte VPN-Verbindung aufbauen. Die Unit-42-Forschung hat Indikatoren und Gegenmaßnahmen veröffentlicht; CISA führt die Schwachstelle im KEV-Katalog.

Panorama und Cloud NGFW sind laut Hersteller nicht betroffen.

Warum ist das relevant?

GlobalProtect-Gateways stehen per Definition am Internet-Rand und sind ein klassischer Initial-Access-Vektor:

  • Direkt aus dem Internet erreichbar, oft ohne vorgelagerte WAF
  • Auth-Bypass = Zugang ohne gültige Credentials, MFA wird umgangen
  • PAN-OS-Edge-Geräte waren wiederholt Ziel von Ransomware- und Staatsakteuren
  • Sehr hoher EPSS-Wert (~87 %) signalisiert breite, kurzfristige Exploit-Wahrscheinlichkeit

Priorisierungssignale

SignalWert
CVSS9.1 (Critical)
EPSS~87 %
KEV-Statusaktiv ausgenutzt
Quellen11 Meldungen im Signal-Cluster
Vektorunauthentifiziert, über Netzwerk

Empfehlung

Als Edge-First-Notfall behandeln: betroffene PAN-OS-Versionen identifizieren, Hersteller-Fix bzw. Mitigation sofort einspielen und exponierte Gateways auf Kompromittierung prüfen (Unit-42-IoCs).

Was Security-Teams jetzt prüfen sollten

  • 1Inventar aller PAN-OS-Geräte mit aktiviertem GlobalProtect-Portal/Gateway erstellen
  • 2Palo-Alto-Advisory zu CVE-2026-0257 lesen und betroffene Versionen abgleichen
  • 3Hersteller-Patch bzw. Mitigation innerhalb von 24 h einspielen
  • 4Unit-42-IoCs in SIEM/EDR laden, GlobalProtect-Logs auf anomale VPN-Sessions prüfen
  • 5Falls kein sofortiger Patch möglich: GlobalProtect-Interface per Allowlist/Geofencing einschränken oder offline nehmen
  • 6Compromise Assessment für internet-exponierte Gateways durchführen

Betroffene Technologien

network-perimeter

Relevante CVEs

CVE-2026-0257

Quellenhinweise

#palo-alto#pan-os#globalprotect#vpn#auth-bypass#edge-device

Verwandte Insights

Mittel

Technologie-Radar: Welle autonomer KI-Security-Agenten auf GitHub

Mittel

MLSecOps & Adversarial ML: Security für KI-Systeme rückt in den Fokus

Mittel

Red-Team-Tooling-Radar: API-Security, Privesc-Enum und Burp-Erweiterungen

Hoch

Wochenlage: Sechs aktiv ausgenutzte KEV-Lücken bei Edge- und Enterprise-Systemen