DoS-Schwachstelle in PAN-OS bedroht GlobalProtect-Infrastruktur

Palo Alto Networks hat eine kritische Sicherheitslücke in seiner Firewall-Software PAN-OS behoben. Die als CVE-2026-0227 klassifizierte Schwachstelle erlaubt es Angreifern ohne Authentifizierung, Denial-of-Service-Attacken gegen GlobalProtect-Komponenten durchzuführen und betroffene Systeme in den Wartungsmodus zu zwingen.

Technische Details der Schwachstelle

Die am 14. Januar 2026 veröffentlichte Sicherheitslücke CVE-2026-0227 weist einen CVSS v4.0-Score von 7,7 auf und wird als hochgradig kritisch eingestuft. Die Schwachstelle basiert auf mangelhaften Validierungsmechanismen bei der Verarbeitung außergewöhnlicher Eingabebedingungen. Angreifer können die Lücke ohne vorherige Authentifizierung ausnutzen und benötigen keine Benutzerinteraktion, was automatisierte Angriffe ermöglicht.

Bei wiederholter Ausnutzung der Schwachstelle wechseln betroffene Firewalls automatisch in den Wartungsmodus, wodurch die Verfügbarkeit der Sicherheitsinfrastruktur massiv eingeschränkt wird. Die Angriffskomplexität ist gering, was die praktische Umsetzbarkeit erhöht.

Betroffene Systeme und Konfigurationen

Die Schwachstelle betrifft ausschließlich PAN-OS-Installationen auf Next-Generation Firewalls sowie Prisma Access-Umgebungen, bei denen GlobalProtect-Gateways oder -Portale aktiviert sind. Cloud NGFW-Implementierungen sind von der Problematik nicht betroffen.

Mehrere PAN-OS-Versionen weisen die Anfälligkeit auf. Palo Alto Networks hat entsprechende Sicherheitspatches für die betroffenen Versionen bereitgestellt.

Klassifizierung und Angriffsszenarien

Die Schwachstelle entspricht der Common Weakness Enumeration CWE-754, die unzureichende Prüfungen auf ungewöhnliche Bedingungen beschreibt. Das zugehörige Angriffsmuster wird als CAPEC-210 klassifiziert und beschreibt den Missbrauch vorhandener Systemfunktionen.

Die Auswirkungen konzentrieren sich ausschließlich auf die Verfügbarkeit der betroffenen Systeme. Vertraulichkeit und Integrität der verarbeiteten Daten bleiben unbeeinträchtigt. Der CVSS-Basis-Score beträgt 8,7, während der bedrohungsspezifische Score bei 7,7 liegt.

Status der Ausnutzung

Nach Angaben von Palo Alto Networks liegen bislang keine Erkenntnisse über aktive Angriffe vor, die diese Schwachstelle ausnutzen. Der Exploit-Status wird als „möglich“ (Proof-of-Concept) eingestuft, die Automatisierbarkeit als gegeben bewertet.

Patch-Management und Prisma Access

Für die Mehrheit der Prisma Access-Kunden wurde das erforderliche Sicherheitsupdate bereits eingespielt. Einige wenige Kunden stehen aufgrund terminlicher Abstimmungen noch aus und werden zeitnah im Rahmen des regulären Upgrade-Prozesses aktualisiert.

Palo Alto Networks stuft die Dringlichkeit der Patch-Implementierung als moderat ein, empfiehlt jedoch aufgrund des hohen Schweregrads eine zeitnahe Aktualisierung betroffener Systeme.

Die Schwachstelle wurde von einem externen Sicherheitsforscher identifiziert und dem Hersteller gemeldet. Palo Alto Networks hat den Entdecker in seinem Security Advisory ausdrücklich gewürdigt.

Empfehlung: Administratoren sollten die Verfügbarkeit von Sicherheitsupdates für ihre PAN-OS-Versionen prüfen und die Installation zeitnah einplanen, insbesondere wenn GlobalProtect-Komponenten im Einsatz sind.

Lesen Sie auch:

---