### Zero-Day-Ausnutzung in freier Wildbahn **Palo Alto Networks** hat bekannt gegeben, dass Bedrohungsakteure bereits am 9. April 2026 erfolglos versucht haben könnten, eine kürzlich entdeckte kritische Sicherheitslücke auszunutzen. Bei der betreffenden Schwachstelle handelt es sich um **CVE-2026-0300** (CVSS-Score: 9.3/8.7), eine Pufferüberlauf-Schwachstelle im User-ID Authentication Portal-Dienst der PAN-OS-Software von **Palo Alto Networks**. Dieser Fehler könnte es einem unauthentifizierten Angreifer ermöglichen, durch das Senden speziell präparierter Pakete beliebigen Code mit Root-Privilegien auszuführen. ### Minderungsstrategien Obwohl Korrekturen ab dem 13. Mai 2026 veröffentlicht werden sollen, wird Kunden geraten, den Zugriff auf das PAN-OS User-ID Authentication Portal zu sichern, indem der Zugriff auf vertrauenswürdige Zonen beschränkt oder es ganz deaktiviert wird, wenn es nicht in Gebrauch ist. Als zusätzliche Minderungsmaßnahme empfiehlt das Unternehmen, Response Pages im Interface Management Profile für jede L3-Schnittstelle zu deaktivieren, über die nicht vertrauenswürdiger oder Internetverkehr eindringen kann. Kunden mit Advanced Threat Prevention können Ausnutzungsversuche auch blockieren, indem sie die Threat ID 510019 aus dem Content-Update für Anwendungen und Bedrohungen Version 9097-10022 aktivieren. ### Verfolgung des Bedrohungsakteurs: CL-STA-1132 In einem Advisory erklärte das Netzwerksicherheitsunternehmen, dass es von begrenzter Ausnutzung der Lücke Kenntnis hat und die Aktivität unter dem Namen **CL-STA-1132** verfolgt, einem mutmaßlichen staatlich unterstützten Bedrohungscluster unbekannter Herkunft. "Der hinter dieser Aktivität stehende Angreifer nutzte CVE-2026-0300 aus, um eine unauthentifizierte Remote Code Execution (RCE) in der PAN-OS-Software zu erreichen. Nach erfolgreicher Ausnutzung konnte der Angreifer Shellcode in einen nginx Worker-Prozess einschleusen", sagte die Unit 42 von **Palo Alto Networks**. ### Aktivitäten nach der Ausnutzung Das Cybersicherheitsunternehmen beobachtete ab dem 9. April 2026 erfolglose Ausnutzungsversuche gegen ein PAN-OS-Gerät. Eine Woche später gelang es den Angreifern, Remote Code Execution gegen das Gerät zu erzielen und Shellcode einzuschleusen. Unmittelbar nach dem Erhalt des anfänglichen Zugriffs versuchten die Bedrohungsakteure, ihre Spuren zu verwischen, indem sie Crash-Kernel-Meldungen löschten, nginx-Crash-Einträge und -Aufzeichnungen entfernten sowie Crash-Core-Dump-Dateien löschten. Zu den Aktivitäten nach der Ausnutzung gehörten die Durchführung von Active Directory (AD)-Enumerationen und das Ablegen zusätzlicher Payloads wie **EarthWorm** und **ReverseSocks5** gegen ein zweites Gerät am 29. April 2026. Beide Tools wurden zuvor mit chinesischen Hacking-Gruppen in Verbindung gebracht. ### Ziel: Edge-Netzwerk-Assets "In den letzten fünf Jahren haben staatlich unterstützte Bedrohungsakteure, die sich mit Cyber-Spionage befassen, ihre Bemühungen zunehmend auf technologische Assets im Edge-Netzwerk konzentriert, darunter Firewalls, Router, IoT-Geräte, Hypervisoren und verschiedene VPN-Lösungen, die hochprivilegierten Zugriff bieten, aber oft nicht über die robusten Protokollierungs- und Sicherheitsagenten verfügen, die auf Standard-Endpunkten zu finden sind", sagte Unit 42. "Die Abhängigkeit der Angreifer hinter CL-STA-1132 von Open-Source-Tools anstelle von proprietärer Malware minimierte die signaturbasierte Erkennung und erleichterte die nahtlose Integration in die Umgebung. Diese technische Wahl, kombiniert mit einer disziplinierten operativen Kadenz von intermittierenden interaktiven Sitzungen über einen Zeitraum von mehreren Wochen, blieb absichtlich unter den Verhaltensschwellenwerten der meisten automatisierten Alarmsysteme."