#Netzwerk & Sicherheit · 5 Min. Lesezeit · Tim Rinkel

FIREWALL-ALARM! Root-Lücke in Palo-Alto-Firewalls wird JETZT aktiv ausgenutzt — CVSS 9.3

FIREWALL-ALARM! Root-Lücke in Palo-Alto-Firewalls wird JETZT aktiv ausgenutzt — CVSS 9.3

Wenn am Rand deines Netzes eine Palo-Alto-Firewall steht, ist das hier deine Pflichtlektüre. Unter CVE-2026-0300 klafft eine Lücke, die so übel ist, wie es nur geht: Angreifer können OHNE Login aus der Ferne Schadcode mit Root-Rechten auf der Firewall ausführen. Und das Schlimmste: Es wird bereits aktiv ausgenutzt. Wir sortieren in Ruhe, was passiert ist und was du heute Abend tun solltest.

SCHOCK: Ein präpariertes Paket reicht für ROOT

Technisch handelt es sich um einen Buffer-Overflow (Fachbegriff: CWE-787, „Out-of-bounds Write“) im User-ID Authentication Portal — früher als Captive Portal bekannt. Ein Angreifer muss nur speziell gebaute Pakete an dieses Portal schicken — und kann darüber beliebigen Code als root ausführen. Kein Passwort, kein Account, nichts. Das ist die maximal gefährliche Klasse von Lücken: unauthentifizierte Remote Code Execution.

Was ist dieses User-ID-Portal überhaupt?

Kurz erklärt: Das User-ID Authentication Portal springt ein, wenn die Firewall einer IP-Adresse keinen Nutzer zuordnen kann. Statt den Traffic einfach durchzuwinken, fordert es eine Anmeldung an, um Regeln pro Benutzer durchsetzen zu können. Der Dienst lauscht dabei auf den Ports 6081 und 6082. Genau dieser hilfreiche Mechanismus ist jetzt die offene Flanke — denn um sich anzumelden, muss man das Portal ja zuerst erreichen können.

GEFAHR: CVSS 9.3 — und schon in freier Wildbahn

Die Lücke trägt einen CVSS-Score von 9.3. Wer den Zugriff auf das Portal auf vertrauenswürdige interne IPs beschränkt, drückt den Wert auf 8.7 — beides bleibt kritisch. Palo Alto bestätigt: Es gibt bereits begrenzte, aktive Angriffe gegen Portale, die zum offenen Internet oder zu nicht vertrauenswürdigen Adressen erreichbar sind. Das ist also kein theoretisches Risiko mehr, sondern ein Wettlauf gegen Angreifer, die schon unterwegs sind.

Wer ist betroffen — und wer NICHT?

Betroffen sind ausschließlich PA-Series- und VM-Series-Firewalls, bei denen das User-ID Authentication Portal aktiv konfiguriert ist. Hast du das Portal gar nicht im Einsatz, bist du nach aktuellem Stand außen vor. Gute Nachricht außerdem für Cloud-Nutzer: Prisma Access, Cloud NGFW und Panorama sind nach Herstellerangaben NICHT verwundbar. Das Risiko konzentriert sich klar auf klassische Hardware- und VM-Firewalls am Netzrand.

So schützt du dich SOFORT

Es gibt zwei Hebel — am besten nutzt du beide:

  • 1. Patchen: Palo Alto rollt die Hotfixes gestaffelt aus. Eine erste Welle (u. a. 11.2.7-h13, 11.1.4-h33, 10.2.10-h36, 12.1.4-h5) kam um den 13. Mai, weitere Versionen (etwa 12.1.7, 11.2.12, 11.1.15) folgen um den 28. Mai. Prüf in deiner PAN-OS-Version, ob dein Hotfix schon verfügbar ist, und plane das Einspielen ein.
  • 2. Angriffsfläche abschotten: Beschränke den Zugriff auf das User-ID-Portal auf vertrauenswürdige Zonen. Deaktiviere Response Pages im Interface-Management-Profil auf allen L3-Interfaces, über die nicht vertrauenswürdiger Traffic reinkommt — und lass sie nur auf internen Interfaces aktiv.

EXTRA-TIPP: Erst prüfen, dann handeln

Bevor du in Panik verfällst: Schau zuerst nach, ob dein Portal überhaupt aus dem Internet erreichbar ist. Viele Setups haben den Dienst ohnehin nur intern offen — dann ist die akute Gefahr deutlich kleiner, der Patch aber trotzdem fällig. Wer Logs hat, sollte rückblickend auf auffällige Verbindungen zu den Ports 6081/6082 achten. Und ganz grundsätzlich gilt: Management-Oberflächen und Authentifizierungs-Portale von Firewalls gehören niemals ungeschützt ins offene Internet. Ein vorgelagertes VPN oder eine strikte Quell-IP-Beschränkung hätte die akute Gefahr hier von vornherein deutlich entschärft.

FAZIT: Heute Abend ist Firewall-Abend

Eine unauthentifizierte Root-Lücke an genau dem Gerät, das dein Netz schützen soll — gefährlicher wird es kaum. Check jetzt, ob dein User-ID-Portal aus dem Internet erreichbar ist, schotte es ab und spiel den Hotfix ein, sobald er für deine Version bereitsteht. Warten ist keine Option.

Häufige Fragen

Welche Versionen und Geräte sind von CVE-2026-0300 betroffen?
Betroffen sind PA-Series- und VM-Series-Firewalls mit aktivem User-ID Authentication Portal. Verwundbar sind PAN-OS-Stände unterhalb der Hotfixes wie 12.1.4-h5, 11.2.7-h13, 11.1.4-h33 oder 10.2.10-h36. Prisma Access, Cloud NGFW und Panorama sind nicht betroffen.
Wie merke ich, ob meine Firewall verwundbar ist?
Prüfe, ob das User-ID Authentication Portal (Captive Portal) konfiguriert und ob es über nicht vertrauenswürdige Zonen oder das Internet erreichbar ist (Ports 6081/6082). Ist das Portal aktiv und exponiert, gilt dein Gerät als gefährdet, solange kein passender Hotfix installiert ist.
Wie behebe ich das Problem konkret?
Spiel den für deine PAN-OS-Version vorgesehenen Hotfix ein. Als Sofortmaßnahme bis zum Patch beschränkst du den Portalzugriff auf vertrauenswürdige Zonen und deaktivierst Response Pages auf allen Interfaces, die nicht vertrauenswürdigen Traffic empfangen.
Gab es schon aktive Angriffe?
Ja. Palo Alto Networks bestätigt begrenzte, aktive Ausnutzung gegen User-ID-Portale, die zu nicht vertrauenswürdigen IP-Adressen oder zum öffentlichen Internet erreichbar sind. Die Lücke wird von Sicherheitsforschern als Zero-Day mit aktiver Exploitation eingestuft.
Reicht es, das Portal abzuschotten, statt zu patchen?
Das Abschotten senkt das Risiko deutlich und ist als Übergangsmaßnahme wichtig — der CVSS-Wert fällt dann auf 8.7. Es ersetzt den Patch aber nicht: Nur der Hotfix schließt die Lücke endgültig. Mach beides, sobald der Fix für deine Version vorliegt.

Quellen:
Palo Alto Networks Security Advisory CVE-2026-0300 ·
Help Net Security ·
Rapid7 ·
Wiz
Stand: 22.05.2026. Patch-Verfügbarkeit je nach PAN-OS-Version unterschiedlich — bitte im Hersteller-Advisory gegenprüfen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert