PaloAlto en Fortinet Firewalls als doelwit

een stroom aan exploits treft Palo Alto en Fortinet Dreigingsanalyse — mei 2026 · 6 min leestijd 2026 begon met een golf van kritieke kwetsbaarheden in twee van de meest gebruikte enterprise firewallplatforms ter wereld. Organisaties die Palo Alto Networks of Fortinet inzetten, stonden dit jaar herhaaldelijk onder druk om snel te

een stroom aan exploits treft Palo Alto en Fortinet

Dreigingsanalyse — mei 2026 · 6 min leestijd


2026 begon met een golf van kritieke kwetsbaarheden in twee van de meest gebruikte enterprise firewallplatforms ter wereld. Organisaties die Palo Alto Networks of Fortinet inzetten, stonden dit jaar herhaaldelijk onder druk om snel te reageren — soms voordat er überhaupt een patch beschikbaar was.

Netwerkapparaten aan de rand van het bedrijfsnetwerk — firewalls, VPN-gateways, remote access-portals — zijn uitgegroeid tot de favoriete doelwitten van zowel cybercriminelen als staatsgelieerde hackers. De reden is simpel: wie toegang krijgt tot een firewall, krijgt toegang tot alles erachter. De eerste vijf maanden van 2026 illustreren dat pijnlijk duidelijk.


Palo Alto Networks — PAN-OS onder vuur

CVE-2026-0300 · Kritiek · CVSS 9.3

Buffer overflow in User-ID Authentication Portal — actief geëxploiteerd

Een geheugencorruptie-fout in de Captive Portal van PAN-OS stelt een niet-geauthenticeerde aanvaller in staat willekeurige code uit te voeren met root-rechten op PA-Series en VM-Series firewalls. Exploitatie is geautomatiseerd en vereist geen gebruikersinteractie. CISA heeft de kwetsbaarheid direct toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus.

De aanvallen begonnen al op 9 april — weken vóór de patch op 13 mei beschikbaar was. De aanvallers, vermoedelijk staatsgesponsord en door Unit 42 gevolgd als cluster CL-STA-1132, injecteerden shellcode in een nginx-worker, verwijderden logbestanden om forensisch onderzoek te bemoeilijken, en gebruikten vervolgens Active Directory-credentials die van de gecompromitteerde firewall werden gestolen voor laterale verplaatsing door het netwerk.

  • Getroffen producten: PA-Series en VM-Series firewalls met PAN-OS (Captive Portal ingeschakeld)
  • Niet getroffen: Prisma Access, Cloud NGFW, Panorama
  • Status: Zero-day, patch beschikbaar vanaf 13 mei 2026

CVE-2026-0227 · Hoog · CVSS 7.7

DoS in GlobalProtect — proof-of-concept beschikbaar

Een fout in de GlobalProtect Gateway en Portal maakt het mogelijk om de firewall zonder authenticatie in maintenance mode te forceren, waardoor alle bescherming wegvalt. Er is een openbaar beschikbare proof-of-concept exploit, en Shadowserver telde bijna 6.000 kwetsbare apparaten online op het moment van disclosure.

  • Getroffen producten: PAN-OS 10.1 en hoger met GlobalProtect gateway of portal ingeschakeld
  • Status: Patch uitgebracht op 14 januari 2026

Fortinet — een aaneenschakeling van incidenten

CVE-2025-59718 / CVE-2025-59719 · Kritiek · CVSS 9.8

SAML authentication bypass — exploitatie al in december 2025

Via vervalste SAML-tokens konden aanvallers zonder geldige inloggegevens beheerderstoegang verkrijgen tot FortiGate-apparaten. De exploitatie begon slechts drie dagen na het uitbrengen van de patch in december 2025 en liep door tot in 2026 — ook op systemen die al gepatcht waren voor deze CVE's.

Aanvallers maakten na inloggen binnen enkele seconden configuratiewijzigingen, creëerden backdoor-adminaccounts, activeerden VPN-toegang voor die accounts en exporteerden de volledige firewall-configuratie inclusief gehashte credentials.

  • Getroffen producten: FortiOS, FortiWeb, FortiProxy, FortiSwitchManager
  • Status: Patch uitgebracht december 2025, exploitatie liep door in januari 2026

CVE-2026-24858 · Kritiek · CVSS 9.4

FortiCloud SSO authentication bypass — zero-day in januari

Met een eigen FortiCloud-account konden aanvallers inloggen op firewalls van andere organisaties wanneer SSO was ingeschakeld. Fortinet heeft als noodmaatregel op 26 januari de FortiCloud SSO volledig uitgeschakeld voor alle klanten, en de volgende dag hersteld — uitsluitend voor gepatche apparaten.

  • Getroffen producten: FortiOS, FortiManager, FortiWeb, FortiProxy, FortiAnalyzer
  • Status: Zero-day, KEV-catalogus, patch uitgebracht 27 januari 2026

CVE-2026-21643 · Kritiek · CVSS 9.1

SQL-injectie in FortiClient EMS — actief misbruikt

Een kritieke SQL-injectie in FortiClient Endpoint Management Server werd kort na publicatie van de patch actief geëxploiteerd. De kwetsbaarheid stelt aanvallers in staat willekeurige opdrachten uit te voeren op de EMS-server zonder authenticatie.

  • Getroffen producten: FortiClient EMS
  • Status: Patch uitgebracht februari 2026, daarna actieve exploitatie

CVE-2026-35616 · Kritiek · CVSS 9.1

Tweede RCE in FortiClient EMS — zero-day vóór disclosure

Een API access bypass in FortiClient EMS die aanvallers zonder authenticatie in staat stelt code uit te voeren. Exploitatie werd vastgesteld op 31 maart 2026 — vóórdat Fortinet de advisory publiceerde. CISA voegde deze kwetsbaarheid op 6 april toe aan de KEV-catalogus met een patchdeadline van 9 april.

  • Getroffen producten: FortiClient EMS 7.4.5 en 7.4.6
  • Status: Noodpatch uitgebracht, permanente fix in FortiClient EMS 7.4.7

Overzicht

CVE Platform CVSS Status
CVE-2026-0300 PAN-OS (PA/VM-Series) 9.3 Actief geëxploiteerd
CVE-2026-0227 GlobalProtect PAN-OS 7.7 PoC beschikbaar
CVE-2025-59718/19 FortiOS, FortiProxy 9.8 Actief geëxploiteerd
CVE-2026-24858 FortiOS, FortiManager 9.4 Zero-day, KEV
CVE-2026-21643 FortiClient EMS 9.1 Actief geëxploiteerd
CVE-2026-35616 FortiClient EMS 9.1 Zero-day, KEV

Wat betekent dit voor uw organisatie?

Het patroon van 2026 is duidelijk: aanvallers — zowel financieel gemotiveerde groepen als staatsactoren — richten zich systematisch op edge devices. De gemiddelde tijd tussen publieke CVE-disclosure en massale exploitatie is gedaald naar minder dan vijf dagen. Dat maakt een reactief patchbeleid onvoldoende.

Concrete aanbevelingen:

  • Beperk beheerinterfaces en authenticatieportals tot vertrouwde interne netwerken — nooit direct blootstellen aan internet.
  • Schakel ongebruikte functies uit (Captive Portal, FortiCloud SSO) om het aanvalsoppervlak te verkleinen.
  • Versneld patchproces: zorg dat u kritieke patches binnen 24–48 uur kunt testen en deployen.
  • Monitor actief op anomalieën: nieuwe lokale adminaccounts, onverwachte configuratiewijzigingen en VPN-toegang zijn vroege indicatoren van compromise.
  • Controleer logbestanden op tekenen van manipulatie — aanvallers wissen bij voorkeur crash-logs en nginx-records om hun sporen te verbergen.
  • Geen verouderde firmware: meerdere kwetsbaarheden van 2025 worden in 2026 nog actief uitgebuit op ongepatche systemen.

Controleer vandaag nog of uw Palo Alto- of Fortinet-omgeving de meest recente firmwareversies draait.


Bronnen: Palo Alto Networks PSIRT, Fortinet FortiGuard Labs, CISA KEV-catalogus, BleepingComputer, The Hacker News, Help Net Security. Opgesteld op basis van publiek beschikbare informatie per 17 mei 2026.