### CVE-2026-0257: Authentifizierungs-Bypass in PAN-OS Die Schwachstelle, die als **CVE-2026-0257** (CVSS-Score: 7.8) verfolgt wird, beinhaltet einen Authentifizierungs-Bypass, der von böswilligen Akteuren ausgenutzt werden könnte, um VPN-Verbindungen einzurichten. Laut **Palo Alto Networks** betrifft das Problem Firewalls mit konfiguriertem GlobalProtect Portal oder Gateway, wenn Authentifizierungs-Override-Cookies aktiviert sind und eine spezifische Zertifikatskonfiguration vorliegt. "Authentifizierungs-Bypass-Schwachstellen im GlobalProtect Portal und Gateway der PAN-OS® Software von Palo Alto Networks ermöglichen es dem Angreifer, Sicherheitsbeschränkungen zu umgehen und eine unbefugte VPN-Verbindung herzustellen", erklärte das Unternehmen in seinem am 13. Mai 2026 veröffentlichten Advisory. ### Ausnutzung in freier Wildbahn In einem Update vom 29. Mai 2026 räumte **Palo Alto Networks** "begrenzte Exploit-Versuche auf ungepatchten PAN-OS-Geräten ohne angewendete Abhilfemaßnahmen" ein. Dies folgt einem Bericht von **Rapid7**, das erfolgreiche Ausnutzung bei zahlreichen Kunden identifizierte, wobei die frühesten Versuche auf den 17. Mai 2026 und eine nachfolgende Welle am 21. Mai zurückdatiert wurden. **Rapid7** schreibt beide Exploit-Sets demselben Bedrohungsakteur zu. Die zweite Welle von Aktivitäten umfasste die Zuweisung von VPN-IPs nach der Cookie-Authentifizierung, was Angreifern in zwei Fällen den Zugriff auf das interne Netzwerk ermöglichte. In den Kundenumgebungen, in denen eine VPN-Sitzung hergestellt wurde, wurden keine nachfolgenden Aktivitäten beobachtet. ### Rapid7s Einschätzung "Ein Authentifizierungs-Bypass in einem externen Enterprise VPN-Gerät kann erhebliche Auswirkungen auf betroffene Organisationen haben", warnte **Rapid7**. "Daher werden Organisationen, die betroffene Geräte betreiben, dringend aufgefordert, auf einen vom Anbieter bereitgestellten Patch zu aktualisieren." ### Abhilfestrategien Als vorübergehende Abhilfemaßnahmen empfiehlt **Palo Alto Networks**, die Authentifizierungs-Override-Funktion zu deaktivieren oder ein neues Zertifikat zu generieren, das ausschließlich für die Authentifizierungs-Override-Funktion verwendet wird. ### FortiClient EMS Ausnutzung Die Ausnutzung von **CVE-2026-0257** folgt einem Bericht von **Arctic Wolf** über die fortgesetzte Bewaffnung einer kritischen Sicherheitslücke in **FortiClient** Endpoint Management Server (EMS)-Bereitstellungen (**CVE-2026-35616**, CVSS-Score: 9.1). Bedrohungsakteure nutzen diese Schwachstelle aus, um Anmeldedaten-stehlende Malware namens EKZ Infostealer zu liefern.