Gefälschte Cookies umgehen GlobalProtect-Login PAN-OS-Bypass gewährt VPN-Zugang ohne Zugangsdaten

Eine Schwachstelle im GlobalProtect-Portal und -Gateway von PAN-OS (CVE-2026-0257) erlaubt das Fälschen von Authentifizierungs-Cookies. Angreifer bauen damit ohne gültige Zugangsdaten eine VPN-Verbindung ins interne Netz auf. Palo Alto Networks bestätigt aktive Angriffe, die CISA hat die Lücke in den KEV-Katalog aufgenommen.

Palo Alto Networks führt die Authentication-Bypass-Schwachstelle CVE-2026-0257 mit einem hohen Schweregrad und einem CVSS-Wert von 7.8. Das Advisory erschien am 13.05.2026, ein Update vom 29.05.2026 bestätigt begrenzte Ausnutzungsversuche auf ungepatchten Geräten ohne Gegenmaßnahmen. Im Visier stehen PAN-OS und Prisma Access, Panorama und Cloud NGFW bleiben außen vor. Sicherheitsforscher dokumentieren zwei Angriffswellen am 13.05.2026 und 21.05.2026, beide nach ihrer Einschätzung von demselben Akteur.

Check Point Firewalls und Spark Firewalls betroffen

Check Point warnt vor aktiv ausgenutzter VPN-Schwachstelle

Gefälschte Override-Cookies ohne Integritätsprüfung

Den Kern bildet die Funktion der Authentication-Override-Cookies, die einem angemeldeten Nutzer ein erneutes Eingeben der Zugangsdaten erspart. Diese Cookies verhalten sich wie Bearer-Token und sind standardmäßig deaktiviert. Der Fehler fällt unter CWE-565, eine Vertrauensstellung gegenüber Cookies ohne Prüfung von Gültigkeit und Integrität.

Voraussetzung für einen Angriff ist eine bestimmte Zertifikatskonfiguration. Das Zertifikat zum Ver- und Entschlüsseln der Cookies muss über einen weiteren Dienst exponiert sein, zum Beispiel das HTTPS-Interface des Portals oder Gateways. Ein entfernter Angreifer liest darüber den öffentlichen Schlüssel aus und erzeugt beliebige Override-Cookies in verschlüsselter Form. Der Server entschlüsselt sie mit dem passenden privaten Schlüssel und vertraut ihnen ohne Signaturprüfung. Daraus folgt eine Anmeldung und der Aufbau einer VPN-Sitzung ohne Zugangsdaten.

Betroffene Versionen und Voraussetzungen

Verwundbar sind Installationen mit aktivem GlobalProtect-Portal oder -Gateway, aktivierten Authentication-Override-Cookies und der genannten Zertifikatskonfiguration. Geräte ohne diese Kombination bleiben außen vor. Den Status der Cookies prüfen Administratoren im Management-Interface über "Network" -> "GlobalProtect" -> "Portals".

Rückblick 2025

20 Prozent mehr ausgenutzte Schwach­stellen im KEV-Katalog der CISA

Die Lücke zieht sich durch die PAN-OS-Zweige 10.2, 11.1, 11.2 und 12.1. Die ersten korrigierten Versionen sind 10.2.18-h6, 11.1.15, 11.2.12 und 12.1.7, daneben stehen mehrere Hotfix-Releases in den älteren Zweigen bereit. Prisma Access aktualisiert der Hersteller nach eigenen Angaben automatisch im Rahmen des Upgrade-Plans. In hybriden Umgebungen mit On-Premises-Firewalls und Prisma Access bringen Betreiber alle lokalen Next-Generation-Firewalls auf eine korrigierte PAN-OS-Version, um die Cookie-Kompatibilität zur Cloud zu erhalten. Die CISA hat CVE-2026-0257 in ihren KEV-Katalog aufgenommen und setzte US-Bundesbehörden eine Behebungsfrist zum 01.06.2026, die sich als Priorisierung auf europäische Organisationen übertragen lässt.

Fazit

Die Schwachstelle sitzt am Remote-Access-Rand des Netzes, an dem ein einzelner Fehler in der Authentifizierung direkten Zugang zum internen Netz eröffnet. Aktive Ausnutzung und ein öffentlich verfügbarer Proof-of-Concept erhöhen den Druck auf Betreiber exponierter Gateways. Die Bindung an eine bestimmte Konfiguration grenzt den Kreis verwundbarer Systeme ein, schützt jedoch nicht die Geräte mit Authentication-Override-Cookies und der betroffenen Zertifikatskonfiguration.

(ID:50864011)