Palo Alto Networks memperingatkan bahwa peretas kini mengeksploitasi kelemahan otentikasi PAN-OS GlobalProtect, yang dilacak sebagai CVE-2026-0257, dalam serangan yang mencoba menembus jaringan perusahaan.
Perusahaan memperbaikinya CVE-2026-0257 cacat awal bulan ini, memperingatkan bahwa itu dapat digunakan untuk membuat koneksi VPN tidak sah pada perangkat.
“Portal GlobalProtect dan gateway perangkat lunak PAN-OS® Palo Alto Networks memungkinkan penyerang menerobos batasan keamanan dan membuat koneksi VPN yang tidak sah,” demikian bunyinya. Nasihat Palo Alto.
Cacat ini mendapat peringkat tingkat keparahan Sedang karena mengharuskan perangkat dikonfigurasi dengan cookie pengesampingan autentikasi yang diaktifkan dan konfigurasi sertifikat tertentu.
Namun, pada hari Jumat, Palo Alto Networks memperbarui peringatan tersebut untuk memperingatkan bahwa kelemahan tersebut kini secara aktif dieksploitasi dalam serangan terhadap perangkat yang belum ditambal, sehingga meningkatkan tingkat keparahannya menjadi Tinggi.
“Palo Alto Networks telah menyadari upaya eksploitasi terbatas pada perangkat PAN-OS yang belum dipatch tanpa menerapkan mitigasi,” demikian bunyi pembaruan tersebut.
Pembaruan ini muncul setelah Rapid7 memperingatkan bahwa mereka telah mengamati kelemahan tersebut dieksploitasi terhadap banyak pelanggan mulai tanggal 17 Mei.
“Rapid7 MDR mengidentifikasi keberhasilan eksploitasi di banyak pelanggan, namun kami tidak melihat adanya indikasi keberhasilan pergerakan lateral dari perangkat. Tanggal paling awal untuk eksploitasi yang diamati adalah 17 Mei 2026,” menjelaskan Rapid7.
“Mulai 29 Mei 2026, kerentanan ini telah ditambahkan ke CISA KEV.”
Menurut Rapid7, serangan dimulai dengan peretas yang mengautentikasi ke gateway GlobalProtect menggunakan cookie pengabaian autentikasi palsu yang menargetkan akun administrator lokal.
Perusahaan pertama kali mengamati eksploitasi pada tanggal 18 Mei dari infrastruktur yang dihosting oleh Vultr, dengan gelombang serangan kedua terdeteksi pada tanggal 21 Mei yang berasal dari Dromatics Systems.
Dalam beberapa kasus, penyerang dapat terhubung ke perangkat melalui VPN menggunakan cookie palsu, sehingga memberi mereka akses ke jaringan internal. Namun, Rapid7 mengatakan bahwa dalam banyak kejadian, meskipun alat menerima cookie palsu, mereka tidak dapat membuat sesi VPN penuh.
Investigasi Rapid7 terhadap pelanggan yang terkena dampak menemukan bahwa perangkat yang terkena dampak telah mengaktifkan cookie pengesampingan autentikasi GlobalProtect dan dikonfigurasi sedemikian rupa sehingga memungkinkan penyerang memalsukan cookie autentikasi yang valid.
Para peneliti mengatakan kelemahan tersebut berasal dari validasi PAN-OS terhadap cookie yang mengesampingkan otentikasi.
Perangkat GlobalProtect VPN mendekripsi jenis cookie ini menggunakan kunci pribadi yang dikonfigurasi dan kemudian memercayai konten yang didekripsi tanpa melakukan verifikasi tanda tangan apa pun.
Jika sertifikat yang sama digunakan kembali untuk layanan HTTPS dan cookie pengesampingan autentikasi, penyerang dapat memperoleh kunci publik yang sesuai melalui sesi HTTPS dan kemudian menggunakannya untuk membuat cookie palsu yang akan diterima oleh perangkat sebagai sah.
Rapid7 mengembangkan eksploitasi bukti konsep yang menunjukkan bagaimana penyerang dapat mengambil sertifikat publik yang diekspos oleh portal atau gateway GlobalProtect, menghasilkan cookie pengesampingan otentikasi palsu untuk pengguna sewenang-wenang, dan mengautentikasi tanpa mengetahui kredensial yang valid. Dengan menggunakan PoC ini, para peneliti berhasil mengautentikasi ke gateway GlobalProtect yang belum ditambal.
Organisasi yang menggunakan perangkat GlobalProtect VPN harus segera menginstal pembaruan keamanan terbaru untuk menambal kelemahannya.
Admin juga dapat memitigasi kelemahan ini dengan mematikan fitur pengesampingan autentikasi atau memanfaatkan sertifikat yang berbeda untuk fitur ini dan tidak membagikannya dengan layanan lain di perangkat.
CISA sekarang menambahkan kekurangannya ke katalog Kerentanan yang Diketahui Dieksploitasi, memerintahkan lembaga federal untuk mengurangi kelemahan tersebut paling lambat tanggal 1 Juni 2026.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
