**Palo Alto Networks** hat Kunden heute gewarnt, dass eine kritische, ungepatchte Schwachstelle im PAN-OS User-ID Authentication Portal in Angriffen ausgenutzt wird. ### Verständnis der Schwachstelle Das User-ID Authentication Portal, auch bekannt als Captive Portal, ist eine PAN-OS-Sicherheitsfunktion, die Benutzer authentifiziert, deren Identitäten von der Firewall nicht automatisch zugeordnet werden können. Diese Funktion ist entscheidend für die Aufrechterhaltung der Netzwerksicherheit, da sie sicherstellt, dass nur autorisierte Benutzer Zugriff erhalten. Diese Zero-Day-Schwachstelle, die als **CVE-2026-0300** verfolgt wird, beruht auf einer Pufferüberlauf-Schwachstelle. Speziell präparierte Pakete können von nicht authentifizierten Angreifern genutzt werden, um beliebigen Code mit Root-Privilegien auf öffentlich zugänglichen PA-Series und VM-Series Firewalls auszuführen. "Es wurde eine begrenzte Ausnutzung beobachtet, die sich gegen **Palo Alto Networks** User-ID™ Authentication Portals richtet, die für nicht vertrauenswürdige IP-Adressen und/oder das öffentliche Internet zugänglich sind", teilte **Palo Alto Networks** in einer Mitteilung am Mittwoch mit. ### Abhilfemaßnahmen **Palo Alto Networks** rät Kunden, sofortige Abhilfemaßnahmen zu ergreifen. "Kunden, die die gängigen Sicherheitspraktiken befolgen, wie z. B. die Beschränkung sensibler Portale auf vertrauenswürdige interne Netzwerke, sind einem stark reduzierten Risiko ausgesetzt." Bis ein Patch verfügbar ist, empfiehlt **Palo Alto Networks** "dringend", das User-ID Authentication Portal zu sichern, indem der Zugriff auf vertrauenswürdige Zonen beschränkt oder das Portal deaktiviert wird, falls eine Beschränkung nicht möglich ist. Um zu überprüfen, ob Ihre Firewalls für die Nutzung des anfälligen Dienstes konfiguriert sind, navigieren Sie in der PAN-OS-Oberfläche zu Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal. ### Exposition im Internet Derzeit verfolgt **Shadowserver** über 5.800 PAN-OS VM-Series Firewalls, die online exponiert sind, mit einer signifikanten Konzentration in Asien (2.466) und Nordamerika (1.998).  *VM-Series Firewalls online exponiert (Shadowserver)* ### Eine Geschichte der Ausnutzung PAN-OS Firewalls sind ein wiederkehrendes Ziel für Angreifer, die oft Zero-Day-Schwachstellen ausnutzen. Im November 2024 berichtete **Shadowserver** von Tausenden von kompromittierten Firewalls durch die Verkettung zweier PAN-OS Zero-Days. Einen Monat später wurde eine weitere PAN-OS DoS-Schwachstelle ausgenutzt, die Firewalls zum Neustart zwang und Schutzmaßnahmen deaktivierte. Im Februar missbrauchten Angreifer drei weitere PAN-OS-Schwachstellen, um Firewalls mit internetseitigen Management-Schnittstellen zu kompromittieren. Die Produkte und Dienstleistungen von **Palo Alto Networks** werden von über 70.000 Kunden weltweit genutzt, darunter 90 % der Fortune 10-Unternehmen und die meisten größten US-Banken, was diese Schwachstelle zu einer mit hoher Auswirkung macht. --- *Update 06. Mai, 11:45 EDT:* **Palo Alto Networks** gab nach der Veröffentlichung des Artikels folgende Erklärung ab: "Diese Schwachstelle betrifft eine begrenzte Anzahl von Kunden, deren User-ID Authentication Portal (Captive Portal) dem öffentlichen Internet oder nicht vertrauenswürdigen IP-Adressen ausgesetzt ist. Wir haben eine begrenzte Ausnutzung dieses Problems beobachtet und arbeiten an der Veröffentlichung von Software-Korrekturen, wobei die ersten Updates voraussichtlich am 13. Mai 2026 verfügbar sein werden", teilte das Unternehmen BleepingComputer mit. "Wir haben unseren Kunden klare Abhilfemaßnahmen zur sofortigen Sicherung ihrer Umgebungen zur Verfügung gestellt. Dieses Problem betrifft keine Cloud NGFW oder Panorama Appliances. Wir bleiben unserem transparenten, sicherheitsorientierten Ansatz verpflichtet, um unseren globalen Kundenstamm zu schützen." <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img alt="article image" src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg"></a> ## <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.</a> KI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung exploitable Schwachstellen findet, beweist, dass Kontrollen standhalten, und den Remediation-Loop schließt. <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Sichern Sie sich Ihren Platz</a>