Palo Alto Networks Merilis Patch Keamanan Mendesak Setelah Eksploitasi Aktif pada Kerentanan VPN GlobalProtect
TL;DR
Palo Alto Networks Merilis Patch Keamanan Mendesak Setelah Eksploitasi Aktif pada Kerentanan VPN GlobalProtect
Gambar milik The Hacker News
Palo Alto Networks baru saja merilis patch darurat untuk kerentanan bypass autentikasi yang berbahaya, yang dilacak sebagai CVE-2026-0257. Celah ini menyerang komponen portal dan gateway GlobalProtect pada perangkat lunak PAN-OS mereka, dan ini bukan masalah yang bisa diabaikan. Singkatnya, celah ini memungkinkan penyerang yang tidak terautentikasi untuk melewati protokol login standar guna membuat koneksi VPN yang tidak sah. Bagi perusahaan mana pun yang mengandalkan gateway ini, ini adalah masalah keamanan yang sangat serius.
Situasi meningkat dengan cepat. Apa yang awalnya merupakan laporan kerentanan standar berubah menjadi insiden prioritas tinggi setelah para peneliti mengonfirmasi bahwa pelaku kejahatan sudah menggunakannya di lapangan. Oleh karena itu, Cybersecurity and Infrastructure Security Agency (CISA) secara resmi telah menambahkannya ke dalam katalog Known Exploited Vulnerabilities (KEV). Jika Anda belum melakukan patching, anggap ini sebagai peringatan keras.
Cara Kerja Eksploitasi
Akar masalahnya terletak pada bagaimana PAN-OS menangani cookie penggantian autentikasi (authentication override). Jika Anda mengonfigurasi portal atau gateway GlobalProtect untuk menerima cookie ini—fitur kenyamanan yang umum digunakan—sistem gagal memvalidasi sesi dengan benar. Hal ini pada dasarnya membiarkan pintu terbuka. Ini sangat berbahaya di lingkungan di mana Cloud Authentication Service (CAS) dinonaktifkan, karena memaksa sistem untuk mengandalkan mekanisme internal yang saat ini terbuka lebar terhadap manipulasi.
Mekanisme teknisnya cukup mudah: dengan membuat permintaan khusus, penyerang dapat melewati kebutuhan akan kredensial yang valid sepenuhnya. Mereka secara efektif menyamar sebagai pengguna yang sah. Peneliti Rapid7 pertama kali melihat aktivitas ini pada 17 Mei 2026. Penyelidikan awal melacaknya ke infrastruktur yang dihosting pada penyedia seperti Vultr dan Dromatics Systems, yang memberi tahu kita bahwa ini bukan sekadar gangguan acak—ini adalah upaya terkoordinasi untuk mencari gateway VPN yang terbuka.
Meskipun Palo Alto Networks awalnya menetapkan risiko sebagai moderat, realitas eksploitasi aktif memaksa mereka untuk menaikkan skor CVSSv4 menjadi 7.8. Itu adalah peringkat tingkat keparahan "Tinggi", dan itu memperhitungkan betapa mudahnya melakukan ini dan seberapa besar kerusakan yang dapat dilakukan penyerang setelah mereka berada di dalam tunnel Anda.
Apakah Infrastruktur Anda Rentan?
Tidak semua penerapan PAN-OS berisiko. Celah ini secara khusus menargetkan sistem di mana "authentication override" diaktifkan—fitur yang dirancang untuk menjaga pengguna tetap terhubung tanpa harus login ulang setiap kali sesi mereka berakhir.
Untuk melihat apakah Anda berada dalam target, periksa antarmuka manajemen Anda:
- Buka tab Network dan pilih GlobalProtect.
- Periksa pengaturan Gateways dan Agent Anda.
- Cari kotak centang "Accept cookie for authentication override".
- Periksa apakah Cloud Authentication Service (CAS) Anda dinonaktifkan. Jika kotak tersebut dicentang dan CAS mati, kemungkinan besar Anda terpapar.
Patching dan Mitigasi
Palo Alto Networks merilis saran keamanan pada 13 Mei 2026, dan mengonfirmasi eksploitasi aktif pada akhir bulan tersebut. Satu-satunya perbaikan nyata adalah menerapkan patch yang disediakan vendor. Karena ini adalah cacat logika dalam cara cookie dibuat dan divalidasi, pembaruan ini secara mendasar mengubah cara sistem menangani sesi.
| Tindakan | Hasil |
|---|---|
| Terapkan Patch Keamanan | Memperbaiki logika bypass autentikasi. |
| Autentikasi Ulang | Memaksa login satu kali untuk semua pengguna GlobalProtect. |
| Prisma Access | Diperbarui secara otomatis melalui jadwal pemeliharaan standar. |
Menerapkan patch akan memaksa autentikasi ulang satu kali untuk semua pengguna Anda. Ini memang merepotkan, tetapi perlu dilakukan. Patch tersebut memaksa sistem untuk membuat ulang cookie autentikasi menggunakan metode kriptografi yang lebih aman, yang secara efektif mematikan sesi yang ada dan berpotensi disusupi.
Bagi mereka yang menjalankan Prisma Access, Anda beruntung—Palo Alto Networks menangani pembaruan secara otomatis. Pantau terus konsol admin Anda untuk pemberitahuan pemeliharaan.
Gambaran yang Lebih Luas
Pergeseran dari bug teoretis menjadi bug yang dieksploitasi secara aktif mengubah segalanya. Penyerang menggunakan penyedia hosting komersial untuk meningkatkan skala upaya mereka, yang berarti mereka agresif dan memiliki sumber daya yang baik.
Tim keamanan harus waspada. Tinjau log Anda untuk pola autentikasi yang aneh atau koneksi VPN dari rentang IP yang tidak masuk akal. Karena eksploitasi ini melewati layar login, peringatan berbasis kredensial standar Anda mungkin tidak muncul. Anda perlu mencari sesi VPN yang berhasil yang tidak memiliki peristiwa login yang sesuai—itulah bukti kunci Anda.
Seperti yang ditunjukkan oleh The Hacker News, bahayanya di sini adalah begitu penyerang melewati portal, mereka pada dasarnya menjadi pengguna tepercaya. Mereka dapat memindai jaringan internal Anda, bergerak secara lateral, dan menjatuhkan payload tanpa sepengetahuan siapa pun.
Jika Anda tidak dapat melakukan patching segera, lakukan langkah pencegahan dengan menonaktifkan fitur "Accept cookie for authentication override". Pengguna Anda mungkin mengeluh karena harus login lebih sering, tetapi itu adalah harga kecil yang harus dibayar untuk menjaga keamanan jaringan Anda saat Anda menunggu pembaruan diterapkan. Tetap pantau portal saran keamanan Palo Alto Networks—situasi ini dinamis, dan panduan lebih lanjut mungkin akan segera menyusul.