Palo Alto Networks Merilis Patch Keamanan Mendesak Setelah Eksploitasi Aktif pada Kerentanan VPN GlobalProtect

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
28 Juni 2026
4 menit baca
Palo Alto Networks Merilis Patch Keamanan Mendesak Setelah Eksploitasi Aktif pada Kerentanan VPN GlobalProtect

TL;DR

• Palo Alto Networks merilis patch darurat untuk CVE-2026-0257. • Kerentanan ini memungkinkan penyerang melewati protokol autentikasi VPN. • CISA menambahkan celah ini ke dalam katalog Known Exploited Vulnerabilities (KEV). • Penyerang secara aktif mengeksploitasi bug ini di lapangan. • Administrator harus segera memperbarui PAN-OS untuk mengamankan gateway perusahaan.

Palo Alto Networks Merilis Patch Keamanan Mendesak Setelah Eksploitasi Aktif pada Kerentanan VPN GlobalProtect

Gambar milik The Hacker News

Palo Alto Networks baru saja merilis patch darurat untuk kerentanan bypass autentikasi yang berbahaya, yang dilacak sebagai CVE-2026-0257. Celah ini menyerang komponen portal dan gateway GlobalProtect pada perangkat lunak PAN-OS mereka, dan ini bukan masalah yang bisa diabaikan. Singkatnya, celah ini memungkinkan penyerang yang tidak terautentikasi untuk melewati protokol login standar guna membuat koneksi VPN yang tidak sah. Bagi perusahaan mana pun yang mengandalkan gateway ini, ini adalah masalah keamanan yang sangat serius.

Situasi meningkat dengan cepat. Apa yang awalnya merupakan laporan kerentanan standar berubah menjadi insiden prioritas tinggi setelah para peneliti mengonfirmasi bahwa pelaku kejahatan sudah menggunakannya di lapangan. Oleh karena itu, Cybersecurity and Infrastructure Security Agency (CISA) secara resmi telah menambahkannya ke dalam katalog Known Exploited Vulnerabilities (KEV). Jika Anda belum melakukan patching, anggap ini sebagai peringatan keras.

Cara Kerja Eksploitasi

Akar masalahnya terletak pada bagaimana PAN-OS menangani cookie penggantian autentikasi (authentication override). Jika Anda mengonfigurasi portal atau gateway GlobalProtect untuk menerima cookie ini—fitur kenyamanan yang umum digunakan—sistem gagal memvalidasi sesi dengan benar. Hal ini pada dasarnya membiarkan pintu terbuka. Ini sangat berbahaya di lingkungan di mana Cloud Authentication Service (CAS) dinonaktifkan, karena memaksa sistem untuk mengandalkan mekanisme internal yang saat ini terbuka lebar terhadap manipulasi.

Mekanisme teknisnya cukup mudah: dengan membuat permintaan khusus, penyerang dapat melewati kebutuhan akan kredensial yang valid sepenuhnya. Mereka secara efektif menyamar sebagai pengguna yang sah. Peneliti Rapid7 pertama kali melihat aktivitas ini pada 17 Mei 2026. Penyelidikan awal melacaknya ke infrastruktur yang dihosting pada penyedia seperti Vultr dan Dromatics Systems, yang memberi tahu kita bahwa ini bukan sekadar gangguan acak—ini adalah upaya terkoordinasi untuk mencari gateway VPN yang terbuka.

Meskipun Palo Alto Networks awalnya menetapkan risiko sebagai moderat, realitas eksploitasi aktif memaksa mereka untuk menaikkan skor CVSSv4 menjadi 7.8. Itu adalah peringkat tingkat keparahan "Tinggi", dan itu memperhitungkan betapa mudahnya melakukan ini dan seberapa besar kerusakan yang dapat dilakukan penyerang setelah mereka berada di dalam tunnel Anda.

Apakah Infrastruktur Anda Rentan?

Tidak semua penerapan PAN-OS berisiko. Celah ini secara khusus menargetkan sistem di mana "authentication override" diaktifkan—fitur yang dirancang untuk menjaga pengguna tetap terhubung tanpa harus login ulang setiap kali sesi mereka berakhir.

Untuk melihat apakah Anda berada dalam target, periksa antarmuka manajemen Anda:

  • Buka tab Network dan pilih GlobalProtect.
  • Periksa pengaturan Gateways dan Agent Anda.
  • Cari kotak centang "Accept cookie for authentication override".
  • Periksa apakah Cloud Authentication Service (CAS) Anda dinonaktifkan. Jika kotak tersebut dicentang dan CAS mati, kemungkinan besar Anda terpapar.

Patching dan Mitigasi

Palo Alto Networks merilis saran keamanan pada 13 Mei 2026, dan mengonfirmasi eksploitasi aktif pada akhir bulan tersebut. Satu-satunya perbaikan nyata adalah menerapkan patch yang disediakan vendor. Karena ini adalah cacat logika dalam cara cookie dibuat dan divalidasi, pembaruan ini secara mendasar mengubah cara sistem menangani sesi.

Tindakan Hasil
Terapkan Patch Keamanan Memperbaiki logika bypass autentikasi.
Autentikasi Ulang Memaksa login satu kali untuk semua pengguna GlobalProtect.
Prisma Access Diperbarui secara otomatis melalui jadwal pemeliharaan standar.

Menerapkan patch akan memaksa autentikasi ulang satu kali untuk semua pengguna Anda. Ini memang merepotkan, tetapi perlu dilakukan. Patch tersebut memaksa sistem untuk membuat ulang cookie autentikasi menggunakan metode kriptografi yang lebih aman, yang secara efektif mematikan sesi yang ada dan berpotensi disusupi.

Bagi mereka yang menjalankan Prisma Access, Anda beruntung—Palo Alto Networks menangani pembaruan secara otomatis. Pantau terus konsol admin Anda untuk pemberitahuan pemeliharaan.

Gambaran yang Lebih Luas

Pergeseran dari bug teoretis menjadi bug yang dieksploitasi secara aktif mengubah segalanya. Penyerang menggunakan penyedia hosting komersial untuk meningkatkan skala upaya mereka, yang berarti mereka agresif dan memiliki sumber daya yang baik.

Tim keamanan harus waspada. Tinjau log Anda untuk pola autentikasi yang aneh atau koneksi VPN dari rentang IP yang tidak masuk akal. Karena eksploitasi ini melewati layar login, peringatan berbasis kredensial standar Anda mungkin tidak muncul. Anda perlu mencari sesi VPN yang berhasil yang tidak memiliki peristiwa login yang sesuai—itulah bukti kunci Anda.

Seperti yang ditunjukkan oleh The Hacker News, bahayanya di sini adalah begitu penyerang melewati portal, mereka pada dasarnya menjadi pengguna tepercaya. Mereka dapat memindai jaringan internal Anda, bergerak secara lateral, dan menjatuhkan payload tanpa sepengetahuan siapa pun.

Jika Anda tidak dapat melakukan patching segera, lakukan langkah pencegahan dengan menonaktifkan fitur "Accept cookie for authentication override". Pengguna Anda mungkin mengeluh karena harus login lebih sering, tetapi itu adalah harga kecil yang harus dibayar untuk menjaga keamanan jaringan Anda saat Anda menunggu pembaruan diterapkan. Tetap pantau portal saran keamanan Palo Alto Networks—situasi ini dinamis, dan panduan lebih lanjut mungkin akan segera menyusul.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Berita Terkait

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Oleh Viktor Sokolov 10 Juli 2026 4 menit baca
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Oleh Marcus Chen 9 Juli 2026 4 menit baca
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Oleh Elena Voss 8 Juli 2026 4 menit baca
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Oleh James Okoro 7 Juli 2026 4 menit baca
common.read_full_article