Die PAN-OS-Sicherheitslücke wird laut Palo Alto Networks bereits aktiv im Internet ausgenutzt, doch erste Patches kommen frühestens Mitte Mai. Waren Sie schon in dieser Situation? Eine kritische Lücke ist publik, der Hersteller bestätigt Angriffe, und der Patch lässt auf sich warten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-0300 in PAN-OS hat CVSS4-Wert 9.3, Risiko „kritisch“
- Pufferüberlauf im User-ID-Authentifizierungsportal erlaubt Code-Ausführung mit Root-Rechten
- Palo Alto Networks bestätigt aktive Ausnutzung im Internet
- Erste Updates kommen frühestens in einer Woche, also Mitte Mai
Worum geht es bei der Schwachstelle?
Die Sicherheitslücke sitzt im User-ID-Authentifizierungsportal, auch bekannt als Captive-Portal, von Palo Alto Networks PAN-OS. Ein Pufferüberlauf erlaubt nicht authentifizierten Angreifern, mit sorgsam präparierten Paketen beliebigen Code mit Root-Rechten auf Firewalls der PA- und VM-Reihen auszuführen. Die CVE-Kennung lautet CVE-2026-0300, der CVSS4-Wert liegt bei 9.3.
Palo Alto bestätigt, dass das Unternehmen begrenzten Missbrauch der Schwachstelle beobachtet hat. Auf betroffenen Geräten war der Zugriff aus nicht vertrauenswürdigen IP-Adressen und teils sogar aus dem offenen Internet möglich. Das stehe im Widerspruch zu den Security-Best-Practices des Herstellers.
Welche Geräte sind betroffen?
Die betroffenen Modelle umfassen die Firewall-Reihen PA und VM. Wer die Captive-Portal-Funktion einsetzt, sollte die Konfiguration sofort überprüfen. Das User-ID-Authentifizierungsportal sollte unter keinen Umständen aus dem öffentlichen Internet erreichbar sein.
Auch wer das Captive-Portal nicht aktiv nutzt, sollte die Konfiguration überprüfen. Standardeinstellungen aus älteren PAN-OS-Versionen können die Funktion ungewollt aktiv halten. Ein kurzer Check spart später eine peinliche Forensik-Analyse.
Eine Woche Wartezeit auf einen Patch ist 2026 eine Ewigkeit. Wer eine Palo-Alto-Firewall im Einsatz hat, sollte heute Mittag das Captive-Portal absichern und nicht erst zum Wochenende.
— Markus Seyfferth, Chefredakteur Dr. Web
Welche Sofortmaßnahmen empfiehlt Palo Alto?
Die Übergangsmaßnahmen stehen im Sicherheitsadvisory von Palo Alto. Erstens: Zugriff auf das User-ID-Authentifizierungsportal auf vertrauenswürdige interne IP-Bereiche beschränken. Zweitens: Das Captive-Portal niemals aus dem offenen Internet erreichbar machen. Drittens: Threat-Prevention-Signaturen aktualisieren, sobald Palo Alto entsprechende IPS-Regeln nachliefert.
Im Januar 2026 wurden bereits Schwachstellen in Palo Altos Firewalls bekannt, durch die Angreifer die Appliances in den Wartungsmodus zwingen konnten. Wer mit kritischen Lücken bei Palo Alto kalkuliert, sollte aus dieser Vorgeschichte gelernt haben. Die Geschwindigkeit, mit der KI-Agenten heute Zero-Days finden und ausnutzen, hat das Zeitfenster zwischen Disclosure und Exploit drastisch verkürzt.
Was sollten Administratoren jetzt sofort tun?
Administratoren handeln am besten in vier Stufen. Zuerst prüfen, ob das User-ID-Authentifizierungsportal überhaupt aktiv ist und ob es aus dem offenen Internet erreichbar ist. Im zweiten Schritt den Zugriff auf vertrauenswürdige interne IP-Bereiche einschränken, sodass das Captive-Portal nicht länger eine offene Tür ins Netz darstellt. Anschließend lohnt ein Blick in die Logs der letzten vierzehn Tage, um verdächtige Aktivitäten rückblickend zu erkennen. Und schließlich gehört der Patch-Plan vorbereitet, idealerweise mit Wartungsfenster und Rollback-Strategie, damit das Update Mitte Mai ohne Hektik eingespielt werden kann.
Mehr Newshunger?
- Findet Claude Mythos jede Sicherheitslücke? Fast
- Neun Jahre alter Linux-Kernel-Bug wird aktiv ausgenutzt
- Anthropic Claude Memory: Was die neue Funktion bringt
- Wird KI 2026 kleiner statt größer? Kommt drauf an
Quellen
Palo Alto Networks – Security Advisory CVE-2026-0300 – https://security.paloaltonetworks.com/ – besucht am 08.05.2026
