heise PlusAbo
Alert!

PAN-OS-LĂĽcke wird angegriffen, Updates erst in Wochen geplant

Palo Alto Networks warnt vor einer bereits angegriffenen kritischen SicherheitslĂĽcke in PAN-OS. Updates kommen frĂĽhestens Mitte Mai.

vorlesen Druckansicht
Palo Alto Networks logo and sign at Silicon Valley headquarters campus of cybersecurity company under blue sky

(Bild: Michael Vi/Shutterstock.com)

Lesezeit: 3 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Palo Alto Networks warnt vor einer Sicherheitslücke in dem Betriebssystem PAN-OS. Sie hat die Risikoeinstufung „kritisch“ erhalten und wird bereits im Internet attackiert. Die ersten Updates sollen frühestens in einer Woche kommen. Palo Alto nennt aber temporäre Gegenmaßnahmen, die Admins dringend ergreifen sollten.

In der Sicherheitsmitteilung schreibt Palo Alto, dass es ein Pufferüberlauf im User-ID-Authentifizierungsportal (auch als Captive-Portal bekannt) nicht authentifizierten Angreifern ermöglicht, mit sorgsam präparierten Paketen beliebigen Code mit root-Rechten auf Firewalls der PA- und VM-Reihen zu schieben und auszuführen (CVE-2026-0300, CVSS4 9.3, Risiko „kritisch“). Um die Schwachstelle auszunutzen, muss das User-ID-Authentifizierungsportal in PAN-OS konfiguriert sein. Standardmäßig ist das nicht der Fall.

Das ist bereits ein Teil der vorgeschlagenen temporären Gegenmaßnahmen: Einfach das Captive-Portal deaktivieren. Ist das nicht möglich, sollen IT-Verantwortliche den Zugriff auf das Portal auf vertrauenswürdige Zonen beschränken. Diese Zugriffseinschränkung etwa auf interne IPs senkt den CVSS4-Wert auf 8.7, mithin das Risiko auf „hoch“.

Betroffene Software-Versionen

Betroffen sind PAN-OS 12.1, 11.2, 11.1 und 10.2. Die Aktualisierungen auf 12.1.4-h5 (13.05.), 12.1.7 (28.05.), 11.2.4-h17 (28.05.), 11.2.7-h13 (13.05.), 11.2.10-h6 (13.05.), 11.2.12 (28.05.), 11.1.4-h33 (13.05.), 11.1.6-h32 (13.05.), 11.1.7-h6 (28.05.), 11.1.10-h25 (13.05.), 11.1.13-h5 (13.05.), 11.1.15 (28.05.), 10.2.7-h34 (28.05.), 10.2.10-h36 (13.05.), 10.2.13-h21 (28.05.), 10.2.16-h7 (28.05.) und 10.2.18-h6 (13.05.) oder neuere bessern die Schwachstelle aus. In Klammern steht jeweils das geplante Veröffentlichungsdatum laut Palo Alto Networks. Nicht betroffen sind Cloud NGFW, Prisma Access und Panorama-Appliances, versichert der Hersteller.

Videos by heise

Palo Alto schreibt zudem, dass das Unternehmen begrenzten Missbrauch der Schwachstelle im User-ID-Authentifizierungsportal beobachtet hat. Auf betroffenen Geräten war der Zugriff von nicht vertrauenswürdigen IP-Adressen und teils aus dem offenen Internet möglich. Diese Konfiguration sei jedoch im Widerspruch zu den Security-Best-Practices, ergänzt Palo Alto.

Im Januar wurden Schwachstellen in Palo Altos Firewalls bekannt, durch die Angreifer die Appliances in den Wartungsmodus zwingen und so offenbar den Firewall-Schutz aushebeln konnten.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten