Ihr VPN hat gerade jemanden ohne Passwort eingelassen.

Ihr VPN hat gerade jemanden ohne Passwort eingelassen.

Nicht weil jemand das Passwort erraten hat. Nicht weil jemand auf einen Phishing-Link geklickt hat. Weil die Authentifizierungsprüfung schlicht nicht stattgefunden hat.

CVE-2026-0257 ist ein Authentication-Bypass in Palo Alto Networks PAN-OS, der das GlobalProtect-Portal und -Gateway betrifft. Die Schwachstelle liegt im Detail: Wenn das Zertifikat zur Verschlüsselung von Authentifizierungs-Override-Cookies mit einer anderen Schnittstelle (HTTPS) geteilt wird, führt der Entschlüsselungsprozess keine Signaturprüfung durch. Ein Angreifer, der den öffentlichen Schlüssel aus dem exponierten HTTPS-Zertifikat abruft, kann ein gültiges Authentifizierungs-Cookie fälschen und eine vollständige VPN-Verbindung aufbauen – ganz ohne Zugangsdaten.

Aktive Ausnutzung begann am 17. Mai. Eine zweite Welle folgte am 21. Mai, diesmal von einem dedizierten Hosting-Anbieter. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen. Palo Alto hat Patches veröffentlicht.

Wenn Sie GlobalProtect einsetzen: Prüfen Sie umgehend, ob Ihre Konfiguration gemeinsam genutzte Zertifikate verwendet. Aktualisieren Sie auf die gepatchte PAN-OS-Version. Rotieren Sie alle VPN-Zugangsdaten. Überprüfen Sie Verbindungsprotokolle auf Anomalien ab dem 17. Mai.

Dieser Angriff ist ohne jede Benutzerinteraktion möglich. Wer von außen Ihren GlobalProtect-Endpoint erreichen kann, hatte möglicherweise Zugang – ohne dass eine Warnung ausgelöst wurde.