Security

Palo Alto Networks Peringatkan Kerentanan ‘Zero-Day’ RCE Firewall Dieksploitasi dalam Serangan

24 seconds ago
2 minutes read

Palo Alto Networks mengeluarkan peringatan darurat kepada pelanggannya hari ini bahwa sebuah kerentanan tingkat kritis yang belum ditambal (unpatched) pada Portal Autentikasi User-ID PAN-OS sedang dieksploitasi secara aktif dalam berbagai serangan.

Dikenal juga sebagai Captive Portal, Portal Autentikasi User-ID merupakan fitur keamanan bawaan PAN-OS yang berfungsi untuk mengautentikasi pengguna yang identitasnya tidak dapat dipetakan secara otomatis oleh sistem firewall.

Detail Kerentanan Zero-Day CVE-2026-0300

Dilacak di bawah kode keamanan CVE-2026-0300, bug zero-day yang berbahaya ini berakar dari kelemahan buffer overflow. Celah ini memungkinkan penyerang tanpa autentikasi untuk mengeksekusi kode arbitrer (RCE) dengan hak istimewa tingkat root pada firewall seri PA dan seri VM yang terekspos ke internet, cukup dengan mengirimkan paket data yang dimanipulasi secara khusus.

“Eksploitasi terbatas telah diamati menargetkan Portal Autentikasi User-ID™ Palo Alto Networks yang terekspos ke alamat IP yang tidak tepercaya dan/atau internet publik,” ungkap perwakilan Palo Alto Networks dalam peringatannya pada hari Rabu.

“Pelanggan yang secara disiplin mengikuti praktik keamanan standar terbaik, seperti membatasi portal sensitif hanya ke jaringan internal yang tepercaya, berada pada risiko yang sangat berkurang.”

Berdasarkan pantauan Shadowserver—sebuah lembaga pengamat ancaman internet—saat ini terdapat lebih dari 5.800 firewall PAN-OS VM-series yang terekspos secara online. Sebagian besar perangkat yang rentan tersebut berlokasi di Asia (2.466) dan Amerika Utara (1.998).

Langkah Mitigasi Darurat untuk Administrator

Palo Alto Networks telah menandai kerentanan ini dengan tingkat keparahan tertinggi. Bagi Anda yang mengelola infrastruktur server, administrator jaringan dapat dengan cepat memeriksa apakah firewall mereka dikonfigurasi menggunakan layanan yang rentan ini dari halaman pengaturan. Pengaturan ini dapat ditemukan melalui menu: Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal.

Pihak perusahaan saat ini masih bekerja keras untuk mengembangkan dan merilis patch keamanan guna menambal zero-day tersebut.

Hingga tambalan resmi tersedia, Palo Alto Networks “sangat” merekomendasikan agar para pelanggan mengamankan Portal Autentikasi User-ID mereka dengan membatasi akses hanya ke zona tepercaya (trusted zones), atau menonaktifkan portal tersebut sepenuhnya jika pembatasan IP tidak memungkinkan untuk diterapkan.

Riwayat Target Serangan PAN-OS

Firewall PAN-OS memang kerap kali menjadi primadona sasaran serangan siber, yang sering kali melibatkan eksploitasi kerentanan keamanan zero-day.

  • Pada November 2024, Shadowserver mengungkapkan bahwa ribuan firewall telah berhasil dikompromikan dalam serangan yang merangkai (chaining) dua eksploitasi zero-day PAN-OS.
  • Satu bulan berselang, peretas mengeksploitasi kerentanan DoS (Denial of Service) pada PAN-OS untuk memaksa firewall melakukan reboot (mulai ulang) dan melumpuhkan perlindungannya.
  • Pada bulan Februari, penyerang beralih menyalahgunakan tiga celah PAN-OS lainnya untuk menyusup ke firewall yang antarmuka manajemennya (management interface) menghadap langsung ke internet.

Infrastruktur keamanan buatan Palo Alto Networks saat ini digunakan oleh lebih dari 70.000 pelanggan di seluruh dunia, yang mencakup 90% dari 10 perusahaan terbesar di daftar Fortune dan sebagian besar bank-bank raksasa di Amerika Serikat.

Tags
24 seconds ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button