**Palo Alto Networks** hat seine Mitteilung zu **CVE-2026-0257**, einer Schwachstelle, die das GlobalProtect Portal und Gateway von PAN-OS betrifft, aktualisiert. Ursprünglich als mittelschwer eingestuft, wurde die Schwachstelle aufgrund aktiver Ausnutzung auf "Hoch" hochgestuft. ## Die Schwachstelle: CVE-2026-0257 Die Schwachstelle, die unter **CVE-2026-0257** verfolgt wird, ermöglicht es Angreifern, Sicherheitsbeschränkungen zu umgehen und unautorisierte VPN-Verbindungen herzustellen. Laut der Mitteilung von **Palo Alto** liegt die Lücke im GlobalProtect Portal und Gateway der PAN-OS-Software. Die anfängliche Bewertung stufte die Auswirkung der Lücke als "Mittel" ein, da bestimmte Konfigurationsanforderungen erfüllt sein mussten: Geräte mussten aktivierte "Authentication Override Cookies" und eine spezifische Zertifikatskonfiguration aufweisen. ## Aktive Ausnutzung und Eskalation der Schwere Am Freitag aktualisierte **Palo Alto Networks** seine Mitteilung und bestätigte die aktive Ausnutzung der Schwachstelle auf ungepatchten Geräten. Dies führte zu einer Erhöhung der Einstufung der Schwere auf "Hoch". "Palo Alto Networks wurde auf begrenzte Ausnutzungsversuche auf ungepatchten PAN-OS-Geräten ohne angewendete Abhilfemaßnahmen aufmerksam", heißt es in der aktualisierten Mitteilung. ## Beobachtungen von Rapid7 Diese Aktualisierung steht im Einklang mit früheren Warnungen von **Rapid7**, die ab dem 17. Mai 2026 Ausnutzungsversuche bei zahlreichen Kunden beobachteten. "Rapid7 MDR identifizierte erfolgreiche Ausnutzung bei zahlreichen Kunden, wir beobachteten jedoch keine Anzeichen für eine erfolgreiche laterale Bewegung von den Geräten aus. Das früheste Datum für beobachtete Ausnutzung war der 17. Mai 2026", berichtete **Rapid7**. Darüber hinaus bemerkte **Rapid7**, dass "ab dem 29. Mai 2026 diese Schwachstelle dem KEV-Katalog der **CISA** hinzugefügt wurde." ## Angriffsdetails Laut **Rapid7** authentifizieren sich Angreifer bei GlobalProtect Gateways, indem sie gefälschte "Authentication Override Cookies" verwenden, die auf das lokale Administratorkonto abzielen. Die Ausnutzung wurde erstmals am 18. Mai von Infrastruktur auf **Vultr** gehostet beobachtet, gefolgt von einer zweiten Welle am 21. Mai, die von Dromatics Systems ausging. Obwohl Angreifer manchmal erfolgreich über VPN mit gefälschten Cookies auf interne Netzwerke zugriffen, stellte **Rapid7** Fälle fest, in denen trotz Annahme des gefälschten Cookies durch das Gerät keine vollständige VPN-Sitzung aufgebaut werden konnte. ## Analyse der Grundursache Die Untersuchung von **Rapid7** ergab, dass betroffene Geräte aktivierte GlobalProtect "Authentication Override Cookies" hatten und so konfiguriert waren, dass das Fälschen gültiger Authentifizierungs-Cookies erlaubt war. Die Schwachstelle liegt im Validierungsprozess von PAN-OS für "Authentication Override Cookies". Das GlobalProtect VPN-Gerät entschlüsselt diese Cookies mit einem konfigurierten privaten Schlüssel und vertraut den entschlüsselten Inhalten ohne Signaturprüfung. Wenn dasselbe Zertifikat sowohl für HTTPS-Dienste als auch für "Authentication Override Cookies" wiederverwendet wird, können Angreifer den entsprechenden öffentlichen Schlüssel über die HTTPS-Sitzung abrufen. Dies ermöglicht es ihnen, gefälschte Cookies zu erstellen, die das Gerät als legitim akzeptiert. ## Proof-of-Concept Exploit **Rapid7** entwickelte einen Proof-of-Concept-Exploit, um zu demonstrieren, wie ein Angreifer öffentliche Zertifikate abrufen kann, die von einem GlobalProtect Portal oder Gateway offengelegt werden, einen gefälschten "Authentication Override Cookie" für einen beliebigen Benutzer generieren und sich ohne gültige Anmeldeinformationen authentifizieren kann. Dieser PoC authentifizierte sich erfolgreich bei einem ungepatchten GlobalProtect Gateway. ## Behebung und Abhilfemaßnahmen Organisationen, die GlobalProtect VPN-Geräte verwenden, wird dringend empfohlen, sofort die neuesten Sicherheitsupdates zu installieren, um die Lücke zu schließen. Alternative Abhilfemaßnahmen umfassen die Deaktivierung der Funktion "Authentication Override" oder die Verwendung eines separaten Zertifikats für diese Funktion, um sicherzustellen, dass es nicht mit anderen Diensten auf dem Gerät geteilt wird. **CISA** hat die Schwachstelle in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und fordert Bundesbehörden auf, diese bis zum 1. Juni 2026 zu beheben.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie benötigen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln greifen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Bereiche, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)