**Palo Alto Networks** hat eine dringende Warnung bezüglich einer kritischen Zero-Day-Schwachstelle mit der Kennung **CVE-2026-0300** herausgegeben, die PAN-OS-Firewalls betrifft. Die Schwachstelle wird aktiv von Bedrohungsakteuren ausgenutzt, bei denen das Unternehmen von staatlicher Unterstützung ausgeht. ### CVE-2026-0300: Remote Code Execution in PAN-OS **CVE-2026-0300** ist ein Fehler zur Ausführung von Remote-Code (RCE), der im PAN-OS User-ID Authentication Portal (auch bekannt als Captive Portal) gefunden wurde. Diese Pufferüberlauf-Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebigen Code mit Root-Rechten auf im Internet exponierten PA-Series und VM-Series Firewalls auszuführen. "Uns ist derzeit nur eine begrenzte Ausnutzung von CVE-2026-0300 bekannt. Unit 42 verfolgt CL-STA-1132, eine Gruppe von wahrscheinlich staatlich unterstützten Bedrohungsaktivitäten, die CVE-2026-0300 ausnutzen. Der Angreifer hinter dieser Aktivität nutzte CVE-2026-0300 aus, um eine nicht authentifizierte Remote Code Execution (RCE) in der PAN-OS-Software zu erreichen", so das Unternehmen. ### Zeitplan der Ausnutzung Laut **Palo Alto Networks** wurden erste erfolglose Ausnutzungsversuche ab dem 9. April 2026 beobachtet. Eine Woche später gelang es den Angreifern, RCE zu erreichen und Shellcode einzuschleusen. Nach der Kompromittierung versuchten die Angreifer sofort, ihre Spuren zu verwischen, indem sie Crash-Kernel-Meldungen löschten, Nginx-Crash-Einträge und -Aufzeichnungen entfernten sowie Crash-Core-Dump-Dateien beseitigten. ### Aktivitäten nach der Ausnutzung: Earthworm und ReverseSocks5 Nachdem sie Zugriff auf die Firewalls der Opfer erlangt hatten, setzten die Angreifer die Open-Source-Tools **Earthworm** und **ReverseSocks5** für Netzwerk-Tunneling ein. Diese Tools ermöglichen die Erstellung von SOCKS v5-Servern und Proxy-Tunneln auf kompromittierten Geräten. * **Earthworm**: Ermöglicht Bedrohungsakteuren die Etablierung verdeckter Kommunikation über eingeschränkte Netzwerke. * **ReverseSocks5**: Ermöglicht die Umgehung von NAT und Firewalls durch die Erstellung einer ausgehenden Verbindung von einem Zielrechner zu einem Controller. **Earthworm** wurde zuvor mit Angriffen in Verbindung gebracht, die chinesischsprachigen Bedrohungsgruppen wie CL-STA-0046, **Volt Typhoon**, UAT-8337 und **APT41** zugeschrieben wurden. ### Exposition und Abhilfemaßnahmen  _Palo Alto Networks VM-series Firewalls online exponiert (Shadowserver)_ **Shadowserver** verfolgt derzeit über 5.400 PAN-OS VM-series Firewalls, die im Internet exponiert sind, mit einer signifikanten Konzentration in Asien (2.466) und Nordamerika (1.998). **Palo Alto Networks** hat erklärt, dass Cloud NGFW und Panorama-Appliances nicht betroffen sind. Patches sind derzeit in Entwicklung, die ersten Veröffentlichungen werden für Mittwoch, den 13. Mai, erwartet. Bis dahin rät **Palo Alto Networks** den Kunden dringend: * Beschränken Sie den Zugriff auf das PAN-OS User-ID Authentication Portal nur auf vertrauenswürdige Zonen. * Deaktivieren Sie das Portal, wenn eine Zugriffsbeschränkung nicht möglich ist. Administratoren können die Konfiguration des anfälligen Dienstes über die Seite "User-ID Authentication Portal Settings" (Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal) überprüfen. ### CISA-Maßnahmen und breitere Trends Die U.S. Cybersecurity and Infrastructure Security Agency (**CISA**) hat **CVE-2026-0300** in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und verpflichtet die Behörden des Federal Civilian Executive Branch (FCEB), anfällige Firewalls bis Samstag Mitternacht, den 9. Mai, zu sichern. Diese Ausnutzung ist Teil eines zunehmenden Trends, bei dem Bedrohungsgruppen Netzwerkgeräte am Rande des Netzwerks wie Firewalls, Hypervisoren, Router und VPN-Software ins Visier nehmen, die oft über keine robusten Protokollierungs- und Sicherheitsmaßnahmen verfügen. Im Februar gab **CISA** die Binding Operational Directive 26-02 heraus, die US-Regierungsbehörden verpflichtet, ausgemusterte Netzwerk-Edge-Geräte, die keine Sicherheitsupdates mehr erhalten, zu entfernen. 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, die Wirksamkeit von Kontrollen beweist und den Behebungszyklus schließt. Sichern Sie sich Ihren Platz