Palo Alto GlobalProtect dalam Sorotan: Celah Bypass Autentikasi Masuk dalam Daftar KEV CISA
TL;DR
Palo Alto GlobalProtect dalam Sorotan: Celah Bypass Autentikasi Masuk dalam Daftar KEV CISA
Palo Alto Networks telah mengonfirmasi hal terburuk: kerentanan bypass autentikasi dengan tingkat keparahan tinggi, yang dilacak sebagai CVE-2026-0257, sedang dieksploitasi secara aktif di lapangan. Celah ini bukan sekadar bug teoretis; ini adalah lubang langsung pada komponen portal dan gateway GlobalProtect di PAN-OS. Bagi penyerang, perhitungannya sederhana—mereka dapat memalsukan cookie autentikasi untuk masuk melewati pintu depan VPN Anda tanpa perlu kata sandi.
Situasi ini meningkat dengan cepat. Setelah laporan eksploitasi yang ditargetkan muncul, CISA memasukkan kerentanan ini ke dalam katalog Known Exploited Vulnerabilities (KEV). Jika Anda menjalankan konfigurasi firewall yang terdampak, anggap ini sebagai peringatan keras. Risiko akses jaringan tanpa izin sangat tinggi, dan melakukan patching bukanlah pilihan—itu adalah satu-satunya cara untuk menjaga perimeter tetap aman.
Mekanisme Pelanggaran
Jadi, bagaimana penyerang melakukannya? Hal ini bermuara pada kelemahan mendasar dalam cara PAN-OS menangani cookie "Authentication Override". Ketika fitur khusus ini diaktifkan pada portal atau gateway GlobalProtect, sistem menjadi rentan terhadap input palsu.
Menurut penasihat keamanan resmi dari Palo Alto Networks, kerentanan dipicu tepat saat mekanisme override tersebut aktif. Ini adalah kasus klasik dalam mempercayai data yang salah. Rapid7, yang mengamati eksploitasi aktif kerentanan tersebut, mengidentifikasi dua gelombang serangan yang berbeda: satu pada 17 Mei 2026, dan gelombang kedua yang lebih agresif pada 21 Mei. Ini bukan sekadar pengintaian; ini adalah upaya sukses untuk membangun sesi VPN tanpa izin.
Industri telah mencatat bahaya ini. Meskipun penilaian dampak awal bersifat konservatif, skor CVSSv4 yang diperbarui untuk CVE-2026-0257 kini berada di angka 7,8. Itu adalah peringkat keparahan tinggi yang mencerminkan realitas ancaman: mudah dieksploitasi, tidak memerlukan interaksi pengguna, dan saat ini digunakan oleh pihak yang tidak bertanggung jawab di dunia nyata.
Apakah Lingkungan Anda Terpapar?
Tidak semua penerapan PAN-OS berisiko. Kerentanan ini secara ketat terkait dengan konfigurasi "Authentication Override". Jika Anda tidak mengaktifkan fitur tersebut, Anda aman—tetapi jangan hanya percaya pada kata-kata saya. Periksa pengaturan Anda.
Untuk melihat apakah Anda berada dalam risiko, buka antarmuka manajemen PAN-OS Anda dan ikuti jalur ini:
- Jalur Navigasi: Network > GlobalProtect > Gateways > Agent > Client Settings
- Pengaturan Target: "Accept cookie for authentication override"
Jika kotak tersebut dicentang, Anda rentan. Ringkasan ancaman terperinci dari Palo Alto layak dibaca oleh tim keamanan mana pun yang mencoba memahami pola serangan spesifik yang dilacak oleh Unit 42. Ini adalah pandangan yang menyadarkan tentang seberapa cepat bypass ini dapat dipersenjatai.
Patching dan Mitigasi
Perbaikannya mudah, tetapi ada sedikit kendala. Karena kerentanan berakar pada cara firewall menangani cookie kriptografi, Anda harus memutus siklus lama untuk memulai yang baru.
| Tindakan Mitigasi | Dampak pada Pengguna |
|---|---|
| Terapkan Patch Keamanan | Memaksa autentikasi ulang satu kali untuk semua pengguna. |
| Nonaktifkan Auth Override | Menghilangkan kerentanan tetapi memerlukan login manual. |
| Pembaruan Prisma Access | Dikelola secara otomatis oleh Palo Alto Networks. |
Saat Anda menerapkan patch, sistem akan mulai membuat cookie menggunakan metodologi yang lebih kuat dan aman. Efek samping langsungnya? Setiap pengguna GlobalProtect yang aktif akan dikeluarkan dan dipaksa untuk melakukan autentikasi ulang. Ini memang mengganggu, tentu saja, tetapi itu perlu. Ini adalah satu-satunya cara untuk memastikan bahwa cookie palsu yang saat ini beredar tidak berguna.
Bagi mereka yang menggunakan Prisma Access, Anda bisa sedikit bernapas lega. Palo Alto menangani pekerjaan berat di seluruh infrastruktur yang dikelola cloud mereka. Lingkungan ini diperbarui secara otomatis sesuai dengan jadwal pemeliharaan standar, yang berarti Anda tidak perlu melakukan apa pun.
Tetap Waspada
Fakta bahwa kerentanan ini dieksploitasi secara aktif adalah pengingat keras bahwa perangkat edge adalah garis pertahanan pertama—dan sering kali yang pertama menjadi target. Karena celah ini memungkinkan akses tanpa autentikasi, peluang bagi penyerang terbuka lebar sampai Anda menutupnya.
Tim keamanan harus memeriksa log VPN mereka sekarang. Apakah ada pola autentikasi yang anomali? Apakah ada sesi yang dibuat pada jam-jam ganjil atau dari lokasi yang tidak terduga? Jika Anda melihat sesuatu yang tidak sesuai dengan pola, segera selidiki.
Dengan celah yang sekarang secara resmi terdaftar di katalog KEV CISA, tekanannya meningkat. Lembaga federal sudah mulai melakukan patching, dan organisasi swasta harus segera mengikuti tanpa penundaan. Bahkan jika Anda tidak berada di industri yang diatur, kombinasi eksploitasi aktif dan peringkat keparahan tinggi seharusnya cukup untuk memindahkan ini ke prioritas utama Anda.
Transisi ke metode pembuatan cookie yang lebih aman adalah langkah penting, tetapi ini bukan akhir dari cerita. Pantau log gateway GlobalProtect Anda dengan cermat. Bahkan setelah Anda melakukan patching, Anda akan ingin mencari tanda-tanda sisa bahwa seseorang mungkin telah mencoba menyelinap masuk sebelum Anda menguncinya. Dalam dunia keamanan siber, bersikap proaktif adalah satu-satunya cara untuk tetap unggul. Selalu perbarui sistem Anda, jaga kebersihan log Anda, dan jangan berasumsi Anda aman hanya karena Anda belum melihat peringatan.
