Palo Alto Networks hari ini memperingatkan pelanggan bahwa kerentanan dengan tingkat keparahan kritis yang belum ditambal di Portal Otentikasi ID Pengguna PAN-OS sedang dieksploitasi dalam serangan.
Juga dikenal sebagai Captive Portal, Portal Otentikasi User-ID adalah a Fitur keamanan PAN-OS yang mengautentikasi pengguna yang identitasnya tidak dapat dipetakan secara otomatis oleh firewall.
Dilacak sebagai CVE-2026-0300, bug zero-day ini berasal dari kelemahan buffer overflow yang memungkinkan penyerang yang tidak diautentikasi mengeksekusi kode arbitrer dengan hak akses root pada firewall Seri PA dan Seri VM yang terekspos Internet melalui paket yang dibuat khusus.
“Eksploitasi terbatas telah diamati menargetkan Portal Otentikasi User-ID™ Palo Alto Networks yang terekspos ke alamat IP yang tidak tepercaya dan/atau internet publik,” Palo Alto Networks mengatakan dalam penasehat hari Rabu.
“Pelanggan yang mengikuti praktik terbaik keamanan standar, seperti membatasi portal sensitif ke jaringan internal tepercaya memiliki risiko yang sangat berkurang.”
Saat ini, pengawas ancaman internet Shadowserver sedang melacak lebih dari 5.800 firewall seri VM PAN-OS terekspos secara online, sebagian besar di Asia (2.466) dan Amerika Utara (1.998).
Perusahaan juga telah menandai kerentanan sebagai tingkat keparahan tertinggi dan mengatakan bahwa admin dapat dengan cepat memeriksa apakah firewall mereka dikonfigurasi untuk menggunakan layanan rentan dari Halaman Pengaturan Portal Otentikasi ID Pengguna, ditemukan di Perangkat > Identifikasi Pengguna > Pengaturan Portal Otentikasi -> Aktifkan Portal Otentikasi.
Palo Alto Networks masih berupaya untuk mengatasi zero-day, dan hingga patch tersedia, Palo Alto Networks “sangat” menyarankan agar pelanggan mengamankan Portal Otentikasi User-ID dengan membatasi akses hanya ke zona tepercaya atau menonaktifkan portal jika hal itu tidak memungkinkan.
Firewall PAN-OS sering kali menjadi sasaran serangan, sering kali mengeksploitasi kerentanan keamanan zero-day. Misalnya, pada November 2024, Shadowserver mengungkapkan hal itu ribuan firewall telah disusupi (walaupun perusahaan mengatakan serangan tersebut hanya berdampak pada “sejumlah kecil”) dalam serangan tersebut merantai dua firewall PAN-OS zero-day.
Satu bulan kemudian, Palo Alto Networks memperingatkan hal itu peretas mengeksploitasi kelemahan DoS PAN-OS lainnya untuk menargetkan firewall Seri PA, Seri VM, dan Seri CN, memaksa mereka untuk melakukan boot ulang dan menonaktifkan perlindungan firewall. Segera setelah itu, pada bulan Februari, penyerang beralih ke menyalahgunakan tiga kelemahan PAN-OS lainnya untuk menyusupi firewall Palo Alto Networks dengan antarmuka manajemen yang terhubung ke internet.
Palo Alto Networks mengatakan produk dan layanannya digunakan oleh lebih dari 70.000 pelanggan di seluruh dunia, termasuk 90% perusahaan Fortune 10 dan sebagian besar bank terbesar di AS.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
