Beobachtungen
Cybersecuritynews berichtet über eine aktuelle Warnmeldung der CISA zur kritischen Schwachstelle CVE‑2026‑0300 in Palo Alto Networks PAN‑OS. Durch die Ausnutzung der Schwachstelle können Angreifer Root‑Zugriff auf die Firewalls der PA‑ und VM‑Series erlangen.
Methoden
Die Schwachstelle im User‑ID Authentication Portal ermöglicht die Ausführung von Schadsoftware mit Root‑Rechten durch speziell angepasste Pakete. Eine Authentifizierung oder Benutzerinteraktion sind hierzu nicht erforderlich.
Attribution
Eine Zuordnung zu einem bestimmten Akteur kann noch nicht vorgenommen werden. Palo Alto Firewalls sind in ihrer Funktion als Zugangspunkt zu Unternehmensumgebungen jedoch wertvolle Ziele für APT Gruppierungen. Das Treat Intelligence Team von Palo Alto Networks berichtet, dass es die Ausnutzungsaktivitäten verfolgt und schreibt diese einem wahrscheinlich staatlich unterstützten Akteur zu.
Handlungsempfehlungen
Ein offizieller Patch für die Schwachstelle durch Palo Alto Networks steht noch aus. Wir raten daher, Netzwerkzugriffe auf das User‑ID Authentication Portal stark einzuschränken oder den Dienst, soweit möglich, zu deaktivieren. Eine Erreichbarkeit des Portals aus dem Internet sollte nach Möglichkeit ausgeschlossen werden.