Palo Alto warnt vor aktiv ausgenutzter RCE-Schwachstelle in PAN-OS

Palo Alto Networks hat Kunden davor gewarnt, dass Angreifer bereits eine kritische PAN-OS-Schwachstelle mit der Kennung CVE-2026-0300 ausnutzen, die auf exponierten Firewalls unauthenticated remote code execution mit root-Rechten ermöglichen kann. Betroffen ist das User-ID Authentication Portal, auch als Captive Portal bekannt, auf Geräten der Serien PA-Series und VM-Series.

Das ist genau die Art von Sicherheitsproblem, die selbst noch vor einem verfügbaren patch sofort ganz oben in der unternehmensweiten Patch-Warteschlange landet. Ein aus der Ferne ausnutzbarer Fehler in Perimeter-firewall-Software ist bereits für sich genommen schwerwiegend. Dass Palo Alto von laufender Ausnutzung spricht, macht daraus noch am selben Tag eine akute Expositionsprüfung für jede Organisation, die betroffene Systeme betreibt und das portal aus dem öffentlichen Internet oder einem anderen nicht vertrauenswürdigen Netz erreichbar gemacht hat.

Laut Palo Alto und der anschließenden Berichterstattung von BleepingComputer handelt es sich um einen buffer overflow im Authentication-Portal-Dienst. Nach Angaben des Unternehmens kann ein nicht authentifizierter Angreifer durch speziell präparierte packet an exponierte Instanzen beliebigen Code als root ausführen. BleepingComputer verwies zudem darauf, dass Shadowserver zum Zeitpunkt des Berichts mehr als 5.800 über das Internet erreichbare PAN-OS-VM-Series-Firewalls erfasste. Das vermittelt einen Eindruck davon, wie viele Umgebungen jetzt dringend überprüft werden müssen.

Das unmittelbare Risiko hängt stark von der Konfiguration ab. Palo Alto sagt, dass die Systeme mit dem höchsten Risiko jene sind, bei denen das User-ID Authentication Portal für nicht vertrauenswürdige IP-Adressen oder das offene Internet erreichbar ist. Organisationen, die das portal nicht nutzen oder den Zugriff bereits auf vertrauenswürdige interne Netze beschränkt haben, sind besser aufgestellt. Dennoch ist das genau die Art von Funktion, die oft länger aktiviert bleibt, als Teams annehmen, besonders in geerbten firewall-Templates oder älteren Niederlassungs-Deployments.

Besonders unangenehm ist, dass die Schwachstelle noch ungepatcht ist, obwohl die Ausnutzung bereits läuft. Das bedeutet, dass Verteidiger nicht die übliche saubere Abfolge aus advisory, Patch-Fenster und geordnetem rollout bekommen. Stattdessen müssen sie zuerst die Exposition identifizieren und dann durch Zugriffsbeschränkungen oder das Abschalten der Funktion gegensteuern. Die Empfehlung von Palo Alto lautet, das Authentication Portal nur für vertrauenswürdige Zonen freizugeben oder es vollständig zu deaktivieren, wenn es nicht benötigt wird.

Der Fall unterstreicht auch ein breiteres Sicherheitsmuster. Das Risiko rund um den firewall beschränkt sich längst nicht mehr auf packet filtering oder Management-Schnittstellen. Sicherheits-Appliances werden heute mit Identitätsdiensten, captive portals, remote-access-Komponenten und workflow-Funktionen ausgeliefert, die die Angriffsfläche rund um das Gerät selbst vergrößern. Wenn einer dieser Dienste verwundbar ist, kann der firewall vom Schutzmechanismus zum Einstiegspunkt werden.

Für Verteidiger sollte die Reaktion operativ einfach, aber dringlich sein. Inventarisieren Sie alle PAN-OS-Geräte, prüfen Sie, ob das Authentication Portal aktiviert ist, ob es extern erreichbar ist, beschränken Sie den Zugriff sofort und bereiten Sie die Ausbringung der Palo-Alto-Fixes vor, sobald sie verfügbar sind. Sicherheitsteams sollten außerdem logs und network telemetry auf ungewöhnliche Anfragen prüfen, die auf das portal zielen, insbesondere bei internetseitig exponierten Appliances.

Nicht jede kritische Sicherheits-advisory verdient einen eigenen Artikel. Diese schon, weil hier drei Dinge zusammenkommen, die selten lange eingedämmt bleiben: exponierte Perimeter-Infrastruktur, unauthenticated remote code execution und bestätigte aktive Ausnutzung. Für Organisationen mit betroffenen PAN-OS-Konfigurationen ist das kein abstraktes Hintergrundrisiko. Es ist ein akutes Problem der Incident-Prävention.