CVE-2026-0300: Palo Alto PAN-OS Captive Portal Root-RCE, CVSS 9.3, in CISA KEV

Diese Woche in unserer InSEKurity der Woche-Serie: ein kritischer Buffer Overflow im User-ID Authentication Portal — in der Praxis weiterhin als “Captive Portal” bekannt — von Palo Alto Networks PAN-OS. Die Schwachstelle, CVE-2026-0300, erlaubt nicht-authentisierten, remote agierenden Angreifern, mit speziell präparierten Paketen eine verwundbare PA-Series- oder VM-Series-Firewall anzugreifen und eine Shell als Root auf der Firewall selbst zu erhalten — ohne Credentials, ohne Benutzerinteraktion und ohne dass eine ratelimitierte Authentifizierungsstrecke im Weg steht. CVSS 4.0 9.3 (Critical). Das Threat-Intel-Team von Palo Alto (Unit 42) ordnet die beobachtete Ausnutzung in freier Wildbahn CL-STA-1132 zu, einem “wahrscheinlich staatlich gesteuerten” Cluster, der die Schwachstelle in Kombination mit den Tunneling-Tools EarthWorm und ReverseSocks5 zur Active-Directory-Aufklärung von der kompromittierten Firewall aus einsetzt. Die CISA hat CVE-2026-0300 am 06.05.2026 in den Known-Exploited-Vulnerabilities-Katalog aufgenommen mit einer Patch-Frist für Bundesbehörden bis 09.05.2026. Bei rund 225.000 internet-erreichbaren PAN-OS-Instanzen (Shodan) ist dies der „Sofort patchen”-Bug der Woche für jeden, der PAN-OS am Perimeter betreibt.

Zusammenfassung

CVE-ID: CVE-2026-0300
CVSS 4.0 Score: 9.3 (Critical) bei Erreichbarkeit aus nicht-vertrauenswürdigen Netzen; 8.7 (High), wenn der Zugriff auf benachbarte/vertrauenswürdige Netze beschränkt ist
CVSS-Vektor: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
CWE: CWE-787 (Out-of-bounds Write)
CAPEC: CAPEC-100 (Overflow Buffers)
Betroffene Software: Palo Alto Networks PAN-OS auf PA-Series- und VM-Series-Firewalls, wenn das User-ID Authentication Portal (bzw. Captive Portal) aktiviert ist und das an das L3-Interface gebundene Interface-Management-Profil Response Pages in einer Zone aktiviert hat, die nicht-vertrauenswürdigen/Internet-Verkehr annimmt
Nicht betroffen: Cloud NGFW, Prisma Access, Panorama (alle Versionen und Konfigurationen)
Angriffsvektor: Netzwerk (speziell präparierte Pakete an den Authentication-Portal-Dienst)
Authentifizierung erforderlich: Nein — pre-auth
Benutzerinteraktion: Keine
Auswirkung: Beliebige Codeausführung als Root auf der Firewall-Dataplane — vollständige Übernahme des Geräts, inklusive AD-eingebundener Service-Accounts, Konfigurations-Secrets, IPsec/SSL-VPN-Tunnel und Pivot-Möglichkeit ins interne Netz
Patch-Status: Hotfix-Builds laufen vom 13.05.2026 bis 28.05.2026 über die unterstützten PAN-OS-Zweige (10.2, 11.1, 11.2, 12.1) aus
Veröffentlicht: Palo-Alto-Advisory 05.05.2026; aktualisiert 07.05.2026
Exploitation-Status: Aktive Ausnutzung in freier Wildbahn seit 16.04.2026; zugeordnet zu CL-STA-1132 (Unit 42); PoC-Code zirkuliert auf GitHub und in Underground-Foren; CISA-KEV-Eintrag vom 06.05.2026 mit Frist 09.05.2026

Was ist das PAN-OS User-ID Authentication Portal?

PAN-OS ist das Flaggschiff-Betriebssystem von Palo Alto Networks für die Next-Generation-Firewalls des Herstellers — die PA-Series-Hardware-Appliances, die an den Perimetern und Segmentierungsgrenzen unzähliger Enterprise-Netze stehen, sowie die VM-Series-Virtual-Firewalls, die in Public-Cloud- und virtualisierten Umgebungen dieselbe Rolle übernehmen. Palo Alto Networks ist einer der dominierenden NGFW-Hersteller weltweit, und PAN-OS übernimmt Nord-Süd-Firewalling, IPSec-/SSL-VPN, URL-Filtering, IPS, SSL-Decryption sowie das User-ID-Subsystem, das IP-Adressen auf authentifizierte Benutzeridentitäten abbildet, um darauf Policy-Entscheidungen zu treffen.

Das User-ID Authentication Portal — bei Administratoren weiterhin unter dem historischen Namen Captive Portal bekannt — ist einer der Identitäts-Mapping-Mechanismen von User-ID. Trifft eine Anfrage von einer IP ein, die die Firewall noch nicht auf einen Benutzer abbilden kann (kein Agent, kein Syslog, kein XFF-Header), kann PAN-OS den Browser des Benutzers transparent auf ein Webportal auf der Firewall selbst umleiten, Credentials abfragen (Kerberos, NTLM, SAML oder lokales Formular) und den resultierenden Benutzernamen für nachfolgende Policy-Entscheidungen an die Quell-IP binden. Das Portal ist ein HTTP/HTTPS-Dienst, der auf den vom Administrator dafür freigegebenen L3-Interfaces läuft und auf der Dataplane-CPU der Firewall lauscht.

Das Portal ist nicht standardmässig aktiviert, wird aber breit eingesetzt in Umgebungen, die BYOD mit Gast-Netzen mischen, in Hochschulnetzen, die Benutzer hinter NAT identifizieren müssen, in Retail-/Hospitality-SSIDs und in jeder Umgebung, die identitätsbasierte Policy benötigt, ohne den dedizierten User-ID-Agent auf jedem Endpoint auszurollen. Entscheidend ist: Organisationen, die browserbasierte Authentifizierung für Gast- oder Auftragnehmerzugriff brauchen, exponieren das Portal häufig in internet-zugewandten Zonen — genau die Konfiguration, die CVE-2026-0300 von “muss über VPN eingeritten werden” zu “braucht eine TCP-Verbindung von irgendwo auf der Welt” macht.

Typische Einsatzszenarien

Gast-/BYOD-Identitätserfassung — WLANs und segmentierte Benutzernetze, in denen Endpoints nicht Domain-joined sind und vor der Policy-Anwendung ein Browser-Login durchlaufen.
Hochschul-Campusnetze — gemeinsames NAT-Egress mit benutzerbezogener Policy erfordert das Portal, um Identitäten an Quell-IPs zu binden.
Retail-/Hospitality-SSIDs — Captive Portals als ToS-Splash und AAA-Übergabe in einem.
Branch Offices ohne User-ID-Agent — kleine Standorte, die keinen dedizierten User-ID-Agent betreiben können, fallen auf das Portal zurück.
Auftragnehmer-/Drittanbieter-Zugriff — Portal-getriebenes Onboarding für externe Benutzer, die sonst für PAN-OS-Policies unsichtbar wären.
Compliance-Audit-Trails — regulierte Umgebungen, die einen benutzerbezogenen Datensatz auf dem Perimetergerät benötigen.

Internet-Exposition des Portals ist weit verbreitet. Shodan indexiert rund 225.000 internet-erreichbare PAN-OS-Instanzen, von denen ein nicht-trivialer Anteil das User-ID Authentication Portal erreichbar hat. Das ist die Population, die für nicht-authentisierte Root-Übernahme via CVE-2026-0300 in Frage kommt.

Technische Analyse

Beschreibung der Schwachstelle

CVE-2026-0300 ist ein Out-of-bounds Write (CWE-787) im PAN-OS-Dienst, der Anfragen an das User-ID Authentication Portal verarbeitet. Ein speziell präpariertes Paket an den Portal-Listener triggert einen Buffer Overflow auf der Dataplane, lässt einen nicht-authentisierten Remote-Angreifer benachbarten Speicher überschreiben und leitet die Ausführung in vom Angreifer mitgelieferten Shellcode um. Der Shellcode läuft im Kontext des portal-verarbeitenden Workers — Unit 42 beschreibt den in freier Wildbahn beobachteten Payload als in einen nginx-Worker-Prozess injiziert — der auf PAN-OS als Root läuft.

Es gibt keinen Authentifizierungsschritt davor, keine Zertifikatsprüfung als Gate, kein Captcha, keine Ratelimitierung auf dem verwundbaren Codepfad. Das Paket erreicht den Bug bevor der Benutzer zum Login aufgefordert wird, weil der Bug in der Request-Parsing-Schicht lebt, die vor der Credential-Validierung läuft. Das Advisory von Palo Alto weist darauf hin, dass der Bug automatisierbar ist, was in der FIRST.org-Exploit-Maturity-Terminologie bedeutet, dass ein einziger funktionierender Exploit das Internet ohne manuelle Interaktion durchharken kann.

Root-Cause-Analyse

Vor-Authentifizierung erreichbarer Parser im Internet: Der Listener des User-ID Authentication Portals nimmt Requests entgegen und parst sie auf der Dataplane bevor die Credential-Prüfung erfolgt, deshalb ist der verwundbare Codepfad pre-auth erreichbar.
Out-of-bounds Write auf dem Request-Pfad: Ein Buffer in der Request-Verarbeitungsroutine wird über seine Grenzen hinaus beschrieben, wenn er mit einem speziell präparierten Paket gefüttert wird (CWE-787). Palo Alto hat das exakte Feld bzw. die exakte Struktur zum Redaktionsschluss noch nicht öffentlich gemacht — ein detaillierterer Vendor-Bericht wird nach Ablauf des Patch-Fensters erwartet.
Privilegien des Dataplane-Prozesses: Der betroffene Worker (nginx laut Unit 42) läuft auf PAN-OS als Root, deshalb liefert erfolgreiche Ausnutzung sofort Root anstelle eines eingeschränkten Service-Users.
Optionales Feature, nicht restriktiv opt-in: Das Authentication Portal ist Opt-in (standardmässig aus), aber die administrative Konfigurationsoberfläche warnt nicht davor, das Portal in nicht-vertrauenswürdigen Zonen zu exponieren. Response Pages auf dem Interface-Management-Profil eines internet-zugewandten L3-Interfaces zu aktivieren ist eine einzelne Checkbox.
Threat-Prevention-Regel kommt spät: Die Content-basierte Schutzregel von Palo Alto (Threat ID 510019) wird mit Applications/Threats-Content-Version 9097-10022 ausgeliefert und erfordert PAN-OS 11.1 oder neuer. Geräte auf 10.2 oder älter können die Content-basierte Mitigation nicht nutzen und müssen sich bis zum Eintreffen des Hotfixes auf Konfigurationsänderungen verlassen.
Failover rettet nicht: Unit 42 dokumentiert einen Vorfall vom 29.04.2026, in dem der Angreifer einen SAML-Flood ausgelöst hat, um den HA-Failover auf das sekundäre Gerät zu erzwingen, und dann denselben Bug gegen den nun aktiven Partner re-exploitet hat. Eine einzelne Patch-Welle, die Standby-Geräte überspringt, hinterlässt einen Foothold.

Angriffsvektor

Der End-to-End-Angriffspfad ist geradlinig: ein verwundbares, internet-exponiertes Authentication Portal identifizieren, ein einzelnes präpariertes Paket abliefern, Root auf der Firewall erhalten, in die interne AD und auf laterale Ziele pivoten. Die Snippets unten sind nur illustrativ und bewusst nicht funktionsfähig — sie zeigen die Form des Angriffs, damit Verteidiger die relevanten Primitive wiedererkennen.

# Schritt 1: Discovery - Kandidaten-PAN-OS-Geraete identifizieren,
# die das Authentication Portal exponieren. Das Portal liefert eine
# erkennbare HTML-Antwortseite auf dem konfigurierten L3-Interface
# aus. Ein Angreifer wuerde typischerweise Port 443 scannen und auf
# Response-Body / TLS-SNI achten statt einen Banner zu fingerprinten.
# Als Verteidiger kann man dieselbe Sicht auf den eigenen Perimeter
# nachvollziehen:
curl -sk -H "Host: vpn.example.com" https://198.51.100.10/ | \
    grep -Ei "User-ID|Authentication Portal|Captive Portal"

# Schritt 2: Bestaetigen, dass das Portal aus einer nicht-vertrauens-
# wuerdigen Quelle erreichbar ist. Eine verwundbare Konfiguration hat
# Response Pages auf dem Interface-Management-Profil des L3-Interface
# in der Untrust-Zone aktiviert.
curl -sk -o /dev/null -w "%{http_code} %{redirect_url}\n" \
    https://198.51.100.10/

# Schritt 3: Das praeparierte Overflow-Paket senden. Die oeffentlich
# zirkulierenden PoC-Tools zielen auf den Request-Parser des
# Authentication Portals mit einem Paket, das einen Out-of-bounds
# Write (CWE-787) ausloest und die Ausfuehrung in Shellcode umlenkt,
# der in den nginx-Worker-Prozess injiziert wird. Der Shellcode laedt
# eine Stage-2 nach (EarthWorm-SOCKS5-Tunneler oder ReverseSocks5 in
# der beobachteten In-the-wild-Kampagne) und etabliert ausgehende C2.
#
# *** NUR ILLUSTRATIV - KEIN FUNKTIONSFAEHIGER EXPLOIT ***
python3 - <<'PY'
import socket, ssl, sys
target = ("198.51.100.10", 443)
# Der echte Exploit baut einen spezifischen Request, der den Out-of-
# bounds Write im Portal-Request-Parser ausloest. Die Form des Pakets
# ist das, was Verteidiger erkennen sollten - ueberlanges Feld in
# einem unauth Portal-Request, gefolgt von einem deutlich shellcode-
# foermigen Payload, das die Dataplane erreicht.
sock = ssl.wrap_socket(socket.create_connection(target))
sock.sendall(b"POST /unauth/Captive_Portal_Login.esp HTTP/1.1\r\n"
             b"Host: vpn.example.com\r\n"
             b"Content-Length: 4096\r\n\r\n" + b"A" * 4096)
sock.close()
PY

# Schritt 4: Post-Exploitation - der In-the-wild-Operator
# (CL-STA-1132) staget Tunneling-Tools auf der Firewall und
# enumeriert AD ueber den Service-Account der Firewall.
#
# Beobachtete Artefakte auf der Firewall (aus den Unit-42-IoCs):
#   /var/tmp/linuxap        # EarthWorm SOCKS5
#   /var/tmp/linuxda        # EarthWorm SOCKS5
#   /var/tmp/linuxupdate    # EarthWorm SOCKS5
#   /tmp/.c                 # Python-Loader-Skript
#   /tmp/R5  /var/R5        # ReverseSocks5
echo "Wenn einer der obigen Pfade auf einer PAN-OS-Dataplane existiert: Incident."

Vereinfachte Paket-Ebene-Sicht auf den Angriff:

Angreifer (Internet)                             PAN-OS Firewall
       |                                                   |
       |  TCP/443 an Authentication-Portal-Listener        |
       |-------------------------------------------------->|  nginx
       |                                                   |  Worker
       |                                                   |  (Root)
       |                                                   |
       |  POST an Portal-Endpoint                          |  Request-
       |  ueberlanges Feld -> OOB-Write (CWE-787)          |  Parser
       |-------------------------------------------------->|  pre-auth
       |                                                   |
       |  Shellcode laeuft im nginx-Worker als Root        |  Dataplane
       |                                                   |
       |  ausgehend Stage-2: EarthWorm / ReverseSocks5     |  C2 von
       |<--------------------------------------------------|  Firewall
       |                                                   |
       |  Pivot: AD-Enumeration ueber Firewall-Svc-Acct    |  ueber
       |<--------------------------------------------------|  internes
       |                                                   |  Interface
       v                                                   v

Ausnutzung in der Praxis

Unit 42 hat die Timeline der In-the-wild-Aktivität gegen bestätigte Opferumgebungen rekonstruiert:

09.04.2026 — Erste beobachtete Ausnutzungsversuche; die ersten Salven sind erfolglos, während der Operator den Exploit gegen die bereitgestellten PAN-OS-Varianten tuned.
16.04.2026 — Erste erfolgreiche RCE; Shellcode wird in einen nginx-Worker-Prozess injiziert, der als Root auf der Firewall läuft.
20.04.2026 — Post-Kompromittierungs-Housekeeping: Der Angreifer löscht den Kernel-Ringpuffer von Crash-Messages, entfernt Core-Dumps, beseitigt nginx-Crash-Records und staget Tunneling-Tools.
29.04.2026 — Der Operator löst einen SAML-Flood aus, um HA-Failover auf das sekundäre Gerät zu erzwingen, und re-exploitet denselben Bug gegen den nun aktiven Partner.
05.05.2026 — Palo Alto veröffentlicht das Security Advisory.
06.05.2026 — CISA nimmt CVE-2026-0300 in den Known-Exploited-Vulnerabilities-Katalog auf mit einer Frist für Bundesbehörden bis 09.05.2026.
07.05.2026 — Advisory wird mit Attribution und Acknowledgments aktualisiert.
Ab 13.05.2026 — Erste Hotfix-Builds verfügbar (12.1.4-h5); verbleibende Zweige rollen bis 28.05.2026 aus.

Unit 42 ordnet die beobachtete Aktivität CL-STA-1132 zu und charakterisiert den Cluster als “wahrscheinlich staatlich gesteuert” mit disziplinierter Operations-Tradecraft — nicht-persistente Zugriffs-Fenster unterhalb der Schwellen verhaltensbasierter Erkennung, Vorliebe für Open-Source-Dual-Use-Tools statt massgeschneiderter Malware, und Schwerpunkt auf Missbrauch von Identitäts-Trust statt geräuschvoller Netzwerk-Layer-Pivots.

Auswirkungen nach Kompromittierung

Root auf der Firewall: vollständige Kontrolle der Dataplane, einschliesslich Lese-/Schreibzugriff auf die On-Disk-Konfiguration, Änderung von NAT-/Routing-Regeln, Entschlüsselung von SSL-Inspection-Keymaterial und Abschalten des Loggings.
AD-Enumeration über Firewall-Service-Accounts: In beobachteten Fällen nutzte der Operator die Credentials des Domain-eingebundenen Service-Accounts der Firewall, um Domain-Root und DomainDnsZones aus dem inneren Netz heraus zu enumerieren.
Ausgehendes Tunneling: EarthWorm und ReverseSocks5 etablieren SOCKS5-Kanäle von der Firewall nach aussen und lassen den Operator Angreifer-Traffic durch das Perimetergerät leiten, das ihn eigentlich filtern soll.
Missbrauch von HA-Failover: Ein SAML-Flood erzwingt Failover und gibt dem Operator einen zweiten Versuch gegen die Standby-Einheit, wenn diese nicht im selben Wartungsfenster gepatcht wurde.
Log-Vernichtung: Kernel-Crash-Messages, nginx-Crash-Records, Core-Dumps, ptrace-Spuren und SUID-Binary-Artefakte werden gewischt, um Incident Response auszubremsen.
VPN-Kompromittierung: Mit Root auf PAN-OS können IPsec-/SSL-VPN-Schlüssel, RADIUS-Shared-Secrets und SAML-Signing-Material exfiltriert werden — das erweitert den Blast Radius weit über die Firewall hinaus.
Persistenz: Obwohl PAN-OS-Upgrade-Pfade die meisten Dataplane-Zustände zurücksetzen, kann ein Operator mit Root Konfigurationsänderungen, geplante Commits oder Content-Updates anlegen, die routinemässige Wartungen überleben.

Impact-Bewertung

Unmittelbare Auswirkungen

CVSS 9.3 Critical, vollständig pre-auth, automatisierbar: Jede verwundbare internet-exponierte Instanz ist ein potenzielles Massenexploit-Ziel.
Aktive Ausnutzung in freier Wildbahn seit 16.04.2026: kein “Abwarten”-CVE — die Attribution geht auf einen wahrscheinlich staatlich gesteuerten Cluster mit disziplinierter Operations-Tradecraft.
CISA-KEV-Eintrag mit Frist 09.05.2026 für Bundesbehörden: Regulatoren betrachten die Bedrohung als etabliert.
Rund 225.000 internet-erreichbare PAN-OS-Instanzen (Shodan) definieren die absolute Obergrenze der exponierten Population; der tatsächlich verwundbare Anteil ist die Teilmenge mit aktiviertem Authentication Portal auf einem L3-Interface mit aktivierten Response Pages.
Patch-Verfügbarkeit gestaffelt bis 28.05.2026: Organisationen auf PAN-OS-Zweigen mit später Hotfix-Auslieferung müssen in der Zwischenzeit auf Konfigurations-Mitigations zurückgreifen.
HA-Failover schützt nicht: Standby-Geräte teilen sich dasselbe Software-Image. Patchen Sie das Paar, nicht nur den aktiven Knoten.

Betroffene Versionen

PAN-OS-Zweig	Verwundbar unter	Erster Fix-Build	Hotfix-ETA
12.1	12.1.4-h5; 12.1.7	12.1.4-h5	13.05.2026
12.1	—	12.1.7	28.05.2026
11.2	11.2.4-h17; 11.2.7-h13; 11.2.10-h6; 11.2.12	Mehrere pro Zweig	Rollend 13.05.2026 bis 28.05.2026
11.1	11.1.4-h33; 11.1.6-h32; 11.1.7-h6; 11.1.10-h25; 11.1.13-h5; 11.1.15	Mehrere pro Zweig	Rollend 13.05.2026 bis 28.05.2026
10.2	10.2.7-h34; 10.2.10-h36; 10.2.13-h21; 10.2.16-h7; 10.2.18-h6	Mehrere pro Zweig	Rollend 13.05.2026 bis 28.05.2026
Cloud NGFW	—	Nicht betroffen	—
Prisma Access	—	Nicht betroffen	—
Panorama	—	Nicht betroffen	—

Bitte Ihre spezifische Minor-Version gegen das Vendor-Advisory abgleichen, bevor ein Gerät als gepatcht gilt. PAN-OS-Hotfix-Builds (Suffix -h) sind zweigspezifisch; ein 11.1.4-Gerät braucht 11.1.4-h33, nicht denselben Build auf einem anderen Zweig.

Betroffene Umgebungen

Internet-zugewandte Perimeter-Firewalls mit aktiviertem Authentication Portal für Gast-/BYOD-/Auftragnehmer-Zugriff.
Hochschul-Campus-Deployments, die das Portal für Identitätsabbildung hinter NAT nutzen.
Retail und Hospitality: SSID-Gateways mit PAN-OS-Portalen als Captive-Portal-Endpunkt.
Gesundheitswesen und regulierte Umgebungen, die benutzerbezogene Attribution auf dem Perimetergerät benötigen.
US-Bundesbehörden (FCEB) im Geltungsbereich von BOD 22-01 mit Frist 09.05.2026.
MSP/MSSP-verwaltete PAN-OS-Flotten, in denen ein einzeln übersehenes Standby-Gerät einen Mandanten exponiert lässt.

Angreiferprofile

Staatlich gesteuerte Aufklärung (CL-STA-1132 laut Unit 42): Zielt auf wertvolle Konfigurations- und Identitäts-Assets — AD-Service-Accounts, VPN-Konzentratoren, SSL-Decryption-Keymaterial — und schätzt Stealth und Persistenz höher als geräuschvolle laterale Bewegung.
Initial Access Broker: pre-auth, root-Level-RCE auf einem Perimetergerät ist hoch marktfähig; Listings in Untergrundforen sind innerhalb von Tagen nach öffentlicher PoC-Waffenisierung zu erwarten.
Ransomware-Affiliates: Eine kompromittierte Perimeter-Firewall liefert RADIUS-/SAML-/VPN-Credentials und einen stabilen Foothold, um Security-Tooling vor der Verschlüsselung abzuschalten.
Hacktivist-Operators: hochsichtbarer, leicht skriptbarer Bug gegen einen bekannten Hersteller — Defacement-Kampagnen und Disruption sind plausible Sekundärnutzungen.
Red Teams / autorisierte Penetration Tester: Jeder Engagement-Scope, der den Perimeter umfasst, sollte dies als den zentralen Testfall des Monats Mai 2026 behandeln.

Mitigationsstrategien

Sofortmassnahmen (Priorität 1)

Geräte im Scope identifizieren. Das Authentication Portal muss aktiviert sein und Response Pages müssen auf dem Interface-Management-Profil eines L3-Interface in einer Zone aktiviert sein, die untrust-Traffic annimmt. Verifizieren in der GUI unter Device > User Identification > Authentication Portal Settings und Network > Network Profiles > Interface Mgmt.

Authentication Portal sofort auf vertrauenswürdige Zonen beschränken. Die Hersteller-empfohlene Interim-Mitigation besteht darin, die Erreichbarkeit des Portals aus nicht-vertrauenswürdigen Netzen zu entfernen, bis ein Hotfix installiert ist.

# Auf der Firewall: Network > Network Profiles > Interface Mgmt
# - Das Management-Interface-Profil finden, das an internet-
#   zugewandte L3-Interfaces gebunden ist.
# - "Response Pages" auf diesem Profil deaktivieren.
# - Alternativ das Profil auf dem Untrust-Interface durch eines
#   mit deaktivierten Response Pages ersetzen.
#
# Auf der Firewall: Device > User Identification > Authentication
# Portal Settings
# - Wenn das Authentication Portal nicht betrieblich erforderlich
#   ist, ganz deaktivieren.
# - Wenn erforderlich, sicherstellen, dass das Portal nur aus
#   vertrauenswuerdigen Zonen erreichbar ist und auf vorgelagerten
#   Firewalls / Load Balancern rate-limitiert ist.

Hotfix anwenden, sobald er für den eigenen Zweig verfügbar ist, und das HA-Paar neu starten. Beide Mitglieder (Active und Standby) im selben Wartungsfenster patchen. Der Vorfall vom 29.04.2026 in Unit 42s Bericht existiert genau deshalb, weil ein einzelnes Gerät eines Paares erreichbar war.

# CLI auf der Firewall - aktuelle Version pruefen und verfuegbare
# Content-/Software-Upgrade-Informationen abrufen.
show system info | match sw-version
request system software check
request system software download version 12.1.4-h5
request system software install version 12.1.4-h5
request restart system

# Fuer HA-Paare: zuerst Standby suspenden, upgraden, Rollen
# tauschen, dann das (jetzt Standby) urspruenglich aktive Geraet
# upgraden, HA wieder aufnehmen.
request high-availability state suspend

Content-basierte Schutzregel aktivieren, wenn der Zweig sie unterstützt. Threat ID 510019 wird in Applications/Threats-Content-Version 9097-10022 ausgeliefert und wird von PAN-OS 11.1 und neuer beachtet.

# Auf der Firewall: Objects > Security Profiles > Vulnerability
# Protection - bestaetigen, dass Threat ID 510019 in allen Profilen,
# die an internet-zugewandte Zonen gebunden sind, auf "reset-both"
# oder "drop" steht.
#
# Content-Version auf der Firewall pruefen:
show system info | match app-version

Jedes Gerät, das seit dem 09.04.2026 internet-exponiert war, als potenziell kompromittiert behandeln. Die frühesten In-the-wild-Versuche liegen fast einen Monat vor der öffentlichen Offenlegung. Forensische Snapshots des Dataplane-Storage vor dem Hotfix anlegen, da die Installation Artefakte überschreibt.
Alles rotieren, was PAN-OS sehen konnte: AD-Service-Accounts gebunden an die Firewall, RADIUS-Shared-Secrets, SAML-Signing-Zertifikate, IKE-Pre-Shared-Keys, SSL-Decryption-CAs, SNMP-Community-Strings, API-Keys, Admin-Passwörter und jegliche Cloud-Provider-Rollen-Credentials, die über IMDS aus der Firewall erreichbar waren.

Erkennungsmassnahmen

Es gibt drei Klassen von Signalen: (a) Ausnutzungsversuche beobachtbar auf der Netzwerkebene, (b) Post-Compromise-Artefakte auf der Firewall selbst und (c) Laterale Aktivität von der Firewall in die interne Infrastruktur.

# (a) NETZWERKEBENE - Nach unauthentisierten POSTs / ueberlangen
# Requests gegen Authentication-Portal-Endpoints suchen. Die
# Portal-Endpoint-Pfade enthalten typischerweise /unauth/ und enden
# mit .esp. In Perimeter-Logs (Load Balancer, vorgelagerte Firewall
# oder CDN, falls PAN-OS dahinter steht):
grep -E "POST .*/(unauth|Captive_Portal_Login)\.esp" access.log | \
    awk '$10 > 8192'  # ueberlange Requests sind verdaechtig

# (b) ARTEFAKTE AUF DER FIREWALL - Veroeffentlichte IoCs aus Unit 42.
# Aus der CLI oder ueber die Debug-Shell mit aktivem TAC-Engagement.
# Das sind klare Incident-Indikatoren - NICHT einfach loeschen;
# forensischen Zustand vor der Remediation sichern.
debug shell run                     # nur mit TAC-Freigabe aufrufen
ls -la /var/tmp/linuxap \
       /var/tmp/linuxda \
       /var/tmp/linuxupdate
ls -la /tmp/.c /tmp/R5 /var/R5

# (c) LATERAL VON DER FIREWALL - In den Security-Logs der Domain
# Controller auf ungewoehnliche LDAP-Enumeration vom AD-Service-
# Account der Firewall achten, besonders "DomainDnsZones" und
# Domain-Root-Queries aus der Management- oder Service-IP der
# Firewall. SIEM-Queries:
#   src.ip = <firewall> AND event.action = LDAPBindRequest
#   src.ip = <firewall> AND ldap.base = "DC=...,DC=local"

Bekannte IoCs (gemäss Unit 42):

IP-Adressen: 67.206.213[.]86, 136.0.8[.]48, 146.70.100[.]69 (C2-Staging), 149.104.66[.]84
Staging-URL: hxxp[:]//146.70.100[.]69:8000/php_sess (EarthWorm-Download)
Datei-Hash: e11f69b49b6f2e829454371c31ebf86893f82a042dae3f2faf63dcd84f97a584 (EarthWorm SOCKS5)
Artefakte auf Disk: /var/tmp/linuxap, /var/tmp/linuxda, /var/tmp/linuxupdate, /tmp/.c, /tmp/R5, /var/R5
HTTP-User-Agent: "Safari/532.31 Mozilla/5.5 (Windows NT 10.0; Win64; x64)" (der unmögliche String “Safari/532.31 Mozilla/5.5” ist für sich genommen ein Fingerprint)

SIEM-Detektionscontent (Sigma-Skizze):

title: Suspicious PAN-OS Captive Portal POST with Oversized Body
status: experimental
logsource:
  product: panos
  service: traffic
detection:
  selection:
    application: ssl
    destination_port: 443
    bytes_received: ">8192"
    url_pattern|contains:
      - /unauth/
      - Captive_Portal_Login.esp
    source_zone_type: untrust
  condition: selection
level: high
tags:
  - cve.2026.0300
  - attack.initial_access
  - attack.t1190

Langfristige Sicherheitsverbesserungen

Perimeter-Firewalls als Tier-0-Assets behandeln. PAN-OS, FortiOS, ScreenOS, SonicOS — welchen Hersteller auch immer Sie betreiben: Das Gerät, das Ihr Netz filtert, ist auch ein wertvolles Ziel gerade weil es alles sieht. Tier-0 bedeutet dieselbe Patch-SLA wie der Domain Controller und dieselbe Logging-Disziplin.
Identitäts-Portale niemals ins öffentliche Internet exponieren, wenn es nicht zwingend nötig ist. Der 09.04.2026 als Start der In-the-wild-Aktivität ist eine Erinnerung daran, dass “Gast-WLAN-Splash-Seite” und “Perimeter-Root-RCE” derselbe Hostname sein können.
HA-Paare immer gemeinsam patchen. Der CL-STA-1132-SAML-Flood-Failover-Trick ist nicht einzigartig für diese CVE — dieselbe Logik gilt für jede Schwachstelle in HA-gepaarten Security-Appliances.
Aggressive Vendor-Advisory-SLAs. Eine 7-Tage-SLA für Vendor-Security-Advisories auf Perimetergerät ist ein sinnvoller Boden; CISA-KEV-gelistete Advisories verdienen 72 Stunden. Live-Patch-artiges Hotfix-Einspielen erfordert sowohl ein passendes Abonnement als auch eine Patch-Kadenz, die Sie dauerhaft halten können.
Egress-Filtering von Ihren Firewalls. Ihre Firewalls sollten nicht zu beliebigen C2-Endpunkten herauswählen dürfen. Die Management-Plane auf Patch-Server, NTP, Syslog, DNS und Lizenz-Endpunkt beschränken — und auf alles andere alarmieren.
AD-Service-Account-Isolation: Das Credential, das die Firewall für User-ID-Lookups nutzt, sollte die absolute Mindest-LDAP-Berechtigung haben und bei jeder Änderung auditiert werden. Kompromittierung der Firewall darf keine Domain-Admin-Äquivalente liefern.
VPN-PSKs / SSL-Decryption-CAs nach Schema rotieren, nicht erst im Vorfall. Wenn schnelle Rotation im Bedarfsfall fehlt, neigt man dazu, die Rotation zu verschieben, wenn ein Incident sie eigentlich verlangt.
Aktualität des Threat-Prevention-Contents. Threat IDs werden in Content-Updates ausgeliefert; wer wochenalte Content-Versionen fährt, verpasst bug-klassen-spezifische Signaturen (wie 510019) an genau dem Tag, an dem sie zählen.

Warum ist das kritisch?

Pre-auth, Root, netzwerkerreichbar: Die schlechteste Kombination von CVSS-Faktoren auf einer Geräteklasse, die direkt am Edge sitzt.
Aktive Ausnutzung in freier Wildbahn durch einen wahrscheinlich staatlich gesteuerten Cluster: Nicht theoretisch; die Tradecraft des Angreifers ist dokumentiert und validiert.
CISA-KEV-Eintrag mit Frist 09.05.2026 für Bundesbehörden: Regulatoren betrachten den Schwellenwert als überschritten.
Rund 225.000 internet-erreichbare PAN-OS-Instanzen (Shodan): Die adressierbare Population ist enorm, und ein Teil davon ist im Scope für unauthentisierte Übernahme.
HA-Failover rettet nicht: Standby-Geräte teilen sich den Bug, und Operators haben Failover erzwungen, um ihre Verweildauer zu verlängern.
Firewall-Kompromittierung = AD-Kompromittierung (in beobachteten Fällen): User-ID-Service-Accounts und AD-Enumeration sind die dokumentierten Post-Exploitation-Primitive.
Patch-Verfügbarkeit gestaffelt bis 28.05.2026: Selbst diszipliniert betriebene Organisationen auf dem aktuellsten Zweig bekommen den Fix erst dann; alle anderen müssen die Lücke mit Konfigurations-Mitigations überbrücken.

Timeline und Disclosure

09.04.2026 — Erste beobachtete In-the-wild-Ausnutzungsversuche (zunächst erfolglos) gegen internet-exponierte Authentication Portals.
16.04.2026 — Erste erfolgreiche RCE in freier Wildbahn; Shellcode in nginx-Worker-Prozess injiziert; CL-STA-1132-Aktivität nimmt Fahrt auf.
20.04.2026 — Operator löscht Crash-Messages, entfernt Core-Dumps und ptrace-Spuren auf kompromittierten Geräten.
29.04.2026 — SAML-Flood-getriebener HA-Failover; Operator re-exploitet den neu aktiven sekundären Knoten.
05.05.2026 — Palo Alto Networks veröffentlicht Security Advisory CVE-2026-0300 mit CVSS 9.3.
06.05.2026 — CISA nimmt CVE-2026-0300 in den Known-Exploited-Vulnerabilities-Katalog auf mit Frist 09.05.2026 für Bundesbehörden.
07.05.2026 — Vendor-Advisory aktualisiert mit Attribution zu CL-STA-1132 und Acknowledgments.
13.05.2026 — Erster Hotfix-Zweig (12.1.4-h5) wird ausgeliefert.
13.05.2026 bis 28.05.2026 — Verbleibende Hotfix-Zweige (12.1.7, 11.2.x, 11.1.x, 10.2.x) rollen aus.

Ressourcen und Referenzen

CVE: CVE-2026-0300 — MITRE
Hersteller-Advisory: CVE-2026-0300 — Palo Alto Networks Security Advisories
Unit-42-Threat-Brief: Exploitation of PAN-OS Captive Portal Zero-Day for Unauthenticated Remote Code Execution
CISA-KEV-Katalog: Known Exploited Vulnerabilities Catalog
CWE: CWE-787: Out-of-bounds Write

SEKurity unterstützt Sie

Eine pre-authentisierte Root-RCE auf dem Gerät, das Ihr Netz filtert, ist eines der folgenreichsten Versagensbilder in der modernen Infrastruktursicherheit. Perimeter-Firewalls wurden als Mauer um die Burg verkauft; CVE-2026-0300 erinnert daran, dass auf der Mauer ein Dienst läuft und dieser Dienst im selben Internet hängt wie alle anderen. Wir helfen Organisationen dabei, die reale Exposition gegenüber Perimeter-Equipment-CVEs über PAN-OS-, FortiOS- und andere NGFW-Bestände zu messen, zu verifizieren dass Hotfixes tatsächlich auf beiden HA-Knoten gelandet sind, Post-Compromise-Szenarien zu üben, die davon ausgehen dass eine Firewall bereits übernommen wurde, und Detection-Content gegen genau die Art stealthiger Tradecraft zu testen, die CL-STA-1132 in den breiteren Bedrohungs-Akteurs-Markt exportiert.

Unsere Services

Penetration Testing: Webanwendungen, mobile Apps (Android & iOS), SAP-Systeme, Active Directory
Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Engagements
Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt — bevor es Angreifer tun.

Kontakt:

Website: www.sekurity.de

Anfragen: www.sekurity.de/kontakt

LinkedIn: SEKurity GmbH

Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihres Netzwerk-Perimeters ist unser Antrieb.

InSEKurity der Woche (KW19/2026): Palo Alto PAN-OS User-ID Portal unauthentisierte Root-RCE (CVE-2026-0300)