Auf den Punkt: Die CVE-2026-0257 ermöglicht es Angreifern, forged Cookies zu erstellen und sich als legitime VPN-Benutzer auszugeben – Rapid7 stuft das Risiko trotz mittlerer CVSS-Bewertung als kritisch ein.
Eine Sicherheitslücke in Palo Altos VPN-Lösung GlobalProtect wird bereits wenige Tage nach der Veröffentlichung von Patches aktiv ausgenutzt. Angreifer umgehen damit die Authentifizierung und verschaffen sich Zugang zu Unternehmensnetzen, ohne Malware oder Phishing einzusetzen.
Die Schwachstelle CVE-2026-0257 in Palo Alto Networks GlobalProtect betrifft die Authentifizierungscookie-Behandlung in PAN-OS. Das Gateway entschlüsselt Cookies mit einem privaten Schlüssel, überprüft aber nicht deren kryptografische Signatur. Angreifer können die öffentliche Schlüsselinformation auslesen und gültige Cookies fälschen – ohne Malware, Phishing oder gestohlene Anmeldedaten.
Palo Alto stufte die Lücke am 13. Mai initial als mittelschwer ein und war sich keiner aktiven Ausnutzung bewusst. Rapid7 identifizierte jedoch bereits am 17. Mai, vier Tage nach der Patch-Veröffentlichung, erfolgreiche Exploits bei zahlreichen Kunden. Am 29. Mai erhöhte Palo Alto die CVSS-Bewertung auf 7,8 und markierte das Exploits-Status als „actively exploited“. Lateral Movement wurde von Rapid7 in den untersuchten Fällen nicht beobachtet.
Die technische Besonderheit macht die Lücke gefährlicher als die mittlere Schweregrad-Klassifizierung nahelegt: Die erzeugten VPN-Sitzungen erscheinen legitim und lassen sich daher schwerer detektieren als klassische Eindringungsszenarien. Angreifer benötigen weder Malware noch Phishing-Nachrichten. Das Feature ist standardmäßig deaktiviert, wurde aber von vielen Organisationen zur Verbesserung der Benutzerfreundlichkeit aktiviert.
Im Zero-Trust-Modell kommt der Identität eine besondere Rolle zu: Ein Authentication-Bypass bei Remote-Access-Infrastruktur kompromittiert die Sicherheitsperimeter unabhängig von Codeausführung. Das eigentliche Unternehmensrisiko entsteht durch nachgelagerte Aktivitäten wie Lateral Movement, Credential Harvesting und persistente Zugriffe unter dem Deckmantel legitimer Sitzungen. Rapid7 empfiehlt, die Lücke trotz mittlerer CVSS-Einstufung als kritisch zu behandeln.
Quelle: www.csoonline.com · Erschienen 2. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.