Sebuah kerentanan keamanan dengan tingkat keparahan sedang yang memengaruhi perangkat lunak PAN-OS dan Prisma Access GlobalProtect dari Palo Alto Networks kini dilaporkan sedang dieksploitasi secara aktif di lapangan. Celah ini memungkinkan penyerang untuk melewati otentikasi dan membangun koneksi VPN yang tidak sah, berpotensi membuka pintu akses ke jaringan internal organisasi.
Baca Juga: Botnet “InterPlanetary Storm” Berhasil Ditumpas, Jutaan Perangkat Termasuk Android Terselamatkan
Dilansir dari The Hacker News, kerentanan yang dilacak sebagai CVE-2026-0257 dengan skor CVSS 7.8 ini telah menjadi perhatian serius bagi banyak perusahaan yang mengandalkan solusi keamanan jaringan Palo Alto Networks.
Palo Alto Networks pertama kali mengeluarkan peringatan mengenai kerentanan ini pada 13 Mei 2026. CVE-2026-0257 adalah kasus bypass otentikasi yang dapat dimanfaatkan oleh pihak tidak bertanggung jawab untuk membuat koneksi VPN.
Baca Juga: Hermes Agent Kini Lebih Efisien dengan Fitur Tool Search, Hemat Penggunaan Token AI
Ini berarti, tanpa otentikasi yang semestinya, penyerang bisa menyusup ke sistem seolah-olah mereka adalah pengguna yang sah.
Perusahaan keamanan jaringan tersebut menjelaskan bahwa masalah ini secara spesifik memengaruhi firewall yang memiliki portal atau gateway GlobalProtect yang dikonfigurasi, terutama ketika fitur authentication override cookies diaktifkan dan terdapat konfigurasi sertifikat tertentu. Kondisi ini menciptakan celah yang bisa dimanfaatkan untuk melewati batasan keamanan dan membangun koneksi VPN tanpa izin.
Palo Alto Networks memperbarui peringatannya pada 29 Mei 2026, menyatakan bahwa mereka telah “menyadari adanya upaya eksploitasi terbatas pada perangkat PAN-OS yang belum ditambal tanpa mitigasi yang diterapkan.” Perkembangan ini muncul setelah Rapid7, sebuah perusahaan keamanan siber, mengungkapkan bahwa mereka telah mengidentifikasi eksploitasi yang berhasil pada sejumlah pelanggannya.
Upaya eksploitasi paling awal tercatat pada 17 Mei 2026, diikuti oleh gelombang kedua pada 21 Mei. Kedua gelombang eksploitasi ini dinilai sebagai pekerjaan dari aktor ancaman yang sama.
Dalam gelombang kedua, aktivitas yang diamati melibatkan penetapan IP VPN setelah otentikasi cookie dalam dua kasus, memberikan penyerang akses ke jaringan internal. Meskipun Rapid7 menambahkan bahwa tidak ada aktivitas lanjutan yang terdeteksi di lingkungan pelanggan setelah sesi VPN berhasil dibuat, potensi ancaman tetap tinggi.
Rapid7 menekankan bahwa “bypass otentikasi pada perangkat VPN perusahaan yang menghadap ke luar dapat memiliki dampak signifikan bagi organisasi yang terpengaruh.” Akses tidak sah ke jaringan internal melalui VPN adalah skenario yang sangat berbahaya, karena dapat membuka jalan bagi pencurian data, penyebaran malware, atau bahkan kontrol penuh atas infrastruktur jaringan.
Mengingat risiko yang ada, organisasi yang menjalankan perangkat yang terpengaruh didesak untuk segera melakukan peningkatan ke patch yang disediakan oleh vendor. Patch ini dirancang untuk menutup celah keamanan dan mencegah eksploitasi lebih lanjut.
Sebagai mitigasi sementara, Palo Alto Networks merekomendasikan dua opsi penting. Pertama, menonaktifkan fitur authentication override.
Fitur ini, meskipun bertujuan untuk kenyamanan, ternyata menjadi titik lemah dalam konfigurasi tertentu. Kedua, jika fitur tersebut harus tetap aktif, disarankan untuk membuat sertifikat baru yang akan digunakan secara eksklusif untuk fitur authentication override.
Langkah ini bertujuan untuk mengisolasi risiko dan memastikan bahwa sertifikat yang digunakan memiliki tingkat keamanan yang lebih tinggi.
Eksploitasi CVE-2026-0257 ini terjadi setelah laporan dari Arctic Wolf mengenai kelanjutan penggunaan celah keamanan kritis yang telah ditambal pada FortiClient Endpoint Management Server (EMS) (CVE-2026-35616) untuk menyebarkan malware pencuri kredensial bernama EKZ Infostealer. Kejadian ini menggarisbawahi pentingnya pembaruan keamanan yang berkelanjutan dan kewaspadaan terhadap ancaman siber yang terus berkembang.
Baca Juga: Kerentanan ChatGPhish Ubah Ringkasan Web ChatGPT Jadi Celah Phishing
Situasi ini menjadi pengingat penting bagi semua organisasi untuk selalu memprioritaskan keamanan jaringan dan segera menerapkan pembaruan serta mitigasi yang direkomendasikan oleh vendor. Kegagalan untuk bertindak cepat dapat membuka peluang bagi penyerang untuk mendapatkan akses tidak sah, yang berpotensi menimbulkan kerugian besar bagi integritas dan kerahasiaan data perusahaan.
Leave a Comment