Palo Alto Networks Merilis Patch Mendesak Menyusul Eksploitasi Aktif Kerentanan Gateway VPN Perusahaan
TL;DR
Palo Alto Networks Merilis Patch Mendesak Menyusul Eksploitasi Aktif Kerentanan Gateway VPN Perusahaan
Jika Anda menjalankan VPN Palo Alto Networks, berhentilah membaca dan segera periksa log Anda. Perusahaan baru saja mengonfirmasi bahwa CVE-2026-0257—sebuah celah bypass autentikasi yang berbahaya—bukan lagi sekadar ancaman teoretis. Kerentanan ini sedang dieksploitasi secara aktif di lapangan.
Ini bukan sekadar pembaruan rutin. Kerentanan ini menyerang konfigurasi portal dan gateway GlobalProtect di dalam PAN-OS dan Prisma Access. Dalam bahasa sederhana? Penyerang menemukan cara untuk masuk ke jaringan internal perusahaan tanpa perlu kata sandi yang valid.
Ketika kerentanan ini pertama kali muncul pada 13 Mei 2026, ia diberi skor CVSS 7,8. Awalnya, ini dianggap sebagai gangguan "tingkat keparahan menengah". Namun, situasi berubah drastis saat laporan eksploitasi aktif mulai bermunculan. Kini, semua pihak, mulai dari lembaga federal hingga peneliti keamanan independen, membunyikan alarm. Penyerang telah menemukan cara untuk memalsukan cookie autentikasi, sehingga mereka dapat menyamar sebagai karyawan yang sah. Begitu mereka masuk, mereka menjadi "hantu" di dalam sistem.
Mekanisme Peretasan
Jadi, bagaimana mereka melakukannya? Kerentanan ini terletak pada cara gateway GlobalProtect menangani cookie penggantian autentikasi (authentication override cookies). Jika Anda mengaktifkan cookie ini dan konfigurasi sertifikat Anda diatur dengan cara tertentu, sistem pada dasarnya lupa untuk memeriksa apakah sesi tersebut benar-benar sah.
Ini adalah skenario klasik "pintu depan yang dibiarkan terbuka". Dengan memanipulasi token sesi ini, penyerang mendapatkan izin yang sama persis dengan pengguna yang mereka tiru. Jika mereka membajak sesi admin tingkat tinggi, mereka memegang kunci utama jaringan tersebut.
Linimasa kejadian ini sangat brutal. Peneliti di Rapid7 mendeteksi upaya eksploitasi di lapangan sejak 17 Mei 2026. Itu adalah margin yang sangat tipis antara penasihat awal dan gelombang pertama serangan dunia nyata. Bagi banyak tim TI, "siklus penambalan" baru saja berubah menjadi perlombaan lari cepat.
Situasi meningkat pada 29 Mei 2026, ketika Cybersecurity and Infrastructure Security Agency (CISA) memasukkan celah ini ke dalam katalog Known Exploited Vulnerabilities (KEV). Ketika CISA mengambil langkah seperti itu, itu adalah tanda peringatan besar bagi setiap lembaga federal dan sektor swasta bahwa ancaman tersebut nyata, sedang berlangsung, dan berbahaya.
Realitas Risiko
Jika Anda bertanya-tanya apakah Anda menjadi target, periksa pengaturan GlobalProtect Anda. Kerentanan ini secara khusus menargetkan lingkungan yang menggunakan fungsionalitas penggantian autentikasi. Jika pengaturan sertifikat atau penggantian Anda tidak selaras dengan persyaratan keamanan vendor, Anda berada dalam posisi rentan. Palo Alto Networks telah menerbitkan penasihat keamanan resmi untuk CVE-2026-0257, dan ini wajib dibaca oleh setiap admin.
| Atribut | Detail |
|---|---|
| ID CVE | CVE-2026-0257 |
| Skor CVSS | 7,8 (Menengah) |
| Produk Terdampak | PAN-OS, Prisma Access (GlobalProtect) |
| Status Eksploitasi | Dieksploitasi secara aktif |
| Risiko Utama | Bypass autentikasi / Akses VPN tidak sah |
Jangan biarkan skor CVSS "Menengah" menipu Anda. Karena eksploitasi ini mengandalkan cookie palsu, pertahanan perimeter standar Anda mungkin tidak akan mendeteksinya. Jika penyerang memiliki detail konfigurasi gateway Anda, mereka sudah setengah jalan menuju keberhasilan. Satu-satunya cara nyata untuk menutup pintu adalah dengan menerapkan patch yang disediakan vendor. Tidak ada jalan pintas di sini.
Apa yang Harus Anda Lakukan Sekarang?
Konsensus industri sudah jelas: perlakukan ini seperti latihan darurat kebakaran. Seperti yang ditunjukkan oleh The Hacker News, hambatan masuk bagi penyerang di sini sangat rendah. Ini adalah target bernilai sangat tinggi bagi siapa pun yang ingin membangun pijakan yang tenang dan persisten di jaringan perusahaan.
Tim intelijen ancaman Rapid7 telah melacak upaya ini, mencatat bahwa serangan tersebut jelas bertujuan untuk melewati lapisan VPN guna memfasilitasi pergerakan lateral dan pencurian data. Begitu mereka masuk, VPN—garis pertahanan pertama Anda—menjadi sebuah kewajiban (liabilitas).
Seperti yang dicatat dengan tepat oleh The Register, bug ini telah meningkat dari penasihat "awasi saja" menjadi keadaan darurat "semua tangan di dek".
Berikut adalah rencana tindakan segera Anda:
- Audit konfigurasi Anda: Periksa pengaturan portal dan gateway GlobalProtect Anda. Apakah cookie penggantian autentikasi diaktifkan? Jika ya, Anda harus segera bertindak.
- Periksa versi: Bandingkan versi PAN-OS dan Prisma Access Anda saat ini dengan persyaratan vendor.
- Patch segera: Jangan menunggu jendela pemeliharaan berikutnya. Terapkan pembaruan sekarang.
- Tinjau log: Telusuri log VPN Anda untuk hal-hal yang mencurigakan. Cari aktivitas sesi yang tidak sesuai dengan perilaku pengguna normal Anda—terutama login dari geografi yang tidak terduga atau perangkat yang tidak Anda kenali.
- Tetap terinformasi: Simpan portal keamanan resmi Palo Alto Networks tetap terbuka di tab browser. Situasi berkembang cepat, dan mereka terus memperbarui panduan seiring dengan informasi baru yang ditemukan.
Ini adalah situasi yang dinamis. Karena eksploitasi ini meniru pengguna yang sah, Anda tidak bisa hanya mencari lalu lintas "berbahaya"—Anda harus mencari lalu lintas yang anomali. Apakah karyawan login dari kota baru? Apakah sesi tetap terbuka untuk waktu yang tidak biasa?
Dimasukkannya bug ini ke dalam katalog KEV CISA mengonfirmasi bahwa ini bukan sekadar insiden terisolasi. Ini adalah tren. Palo Alto Networks bekerja keras untuk membantu pelanggan mengamankan sistem, tetapi pekerjaan berat harus dilakukan oleh pihak Anda. Jika Anda belum mengaudit konfigurasi gateway Anda, lakukan hari ini. Jendela untuk mengantisipasi hal ini semakin sempit, dan penyerang tidak melambat.
