Security

CISA Angkat Status Jadi Kritis: Celah Bypass VPN Palo Alto GlobalProtect Kini Aktif Dieksploitasi Peretas

4 minutes ago
3 minutes read

Raksasa keamanan siber Palo Alto Networks bersama Badan Keamanan Siber dan Infrastruktur AS (CISA) merilis peringatan darurat bagi seluruh pengelola IT perusahaan. Celah keamanan authentication bypass pada sistem operasi PAN-OS yang digunakan oleh perangkat GlobalProtect VPN, resmi dinyatakan sedang aktif dieksploitasi oleh kelompok peretas untuk menjebol dinding pertahanan jaringan internal korporasi.

Kerentanan yang dilacak sebagai CVE-2026-0257 ini awalnya dikategorikan memiliki tingkat keparahan sedang (Medium severity). Namun, menyusul temuan investigasi forensik di lapangan yang menunjukkan adanya serangan riil terhadap perangkat yang belum ditambal (unpatched), Palo Alto Networks langsung menaikkan status keparahannya menjadi Tinggi (High / Kritis).

Kronologi Serangan: Dipantau oleh Rapid7 Sejak Pertengahan Mei

Lembaga intelijen ancaman siber Rapid7 mengungkapkan bahwa tim Managed Detection and Response (MDR) mereka mendeteksi gelombang eksploitasi sukses pertama kali pada 17 Mei 2026.

  • Gelombang Pertama (18 Mei): Peretas meluncurkan pemindaian dan serangan otomatis memanfaatkan infrastruktur server sewaan milik penyedia hosting Vultr.
  • Gelombang Kedua (21 Mei): Serangan lanjutan terdeteksi bergeser menggunakan jalur jaringan internet milik Dromatics Systems.

Dalam melancarkan aksinya, target utama peretas adalah membidik akun administrator lokal (local administrator account) pada perangkat VPN target untuk mendapatkan hak kendali tertinggi.

Berdasarkan analisis teknis mendalam dari Rapid7, kerentanan ini bukan dipicu oleh kerusakan memori (memory corruption), melainkan akibat kelalaian logika validasi kriptografi pada fitur Authentication Override Cookies di sistem PAN-OS.

Fitur Authentication Override sendiri merupakan fungsi bawaan yang dirancang agar pengguna tidak perlu berulang kali mengetikkan kata sandi. Setelah login pertama sukses, perangkat VPN akan menerbitkan cookie terenkripsi ke browser pengguna.

Namun, proses validasi cookie tersebut memiliki celah fatal:

  1. Absennya Verifikasi Tanda Tangan: Ketika pengguna mengirimkan kembali cookie tersebut, perangkat PAN-OS hanya mendekripsinya menggunakan kunci privat (private key) yang dikonfigurasi, lalu langsung mempercayai isinya tanpa melakukan verifikasi tanda tangan digital (signature verification) untuk memastikan keaslian data.
  2. Dilema Duplikasi Sertifikat HTTPS: Masalah diperparah jika administrator menggunakan satu sertifikat digital yang sama untuk mengamankan layanan web HTTPS sekaligus untuk mengenkripsi Authentication Override Cookies.
  3. Penyusupan Publik Key: Peretas dapat dengan mudah menyedot sertifikat publik (public key) yang dipaparkan secara terbuka oleh portal web GlobalProtect saat diakses via HTTPS.
  4. Pemalsuan Cookie Sukses: Memanfaatkan kunci publik yang dicuri tersebut, peretas dapat merakit dan mengenkripsi sendiri cookie palsu (forged cookies) untuk nama pengguna mana pun (termasuk admin). Saat cookie palsu ini dikirimkan, perangkat VPN akan menerimanya sebagai dokumen legal.

Rapid7 mengonfirmasi telah sukses mengembangkan kode Proof-of-Concept (PoC) untuk membuktikan bahwa peretas dapat melompati gerbang otentikasi dan masuk ke jaringan VPN tanpa perlu mengetahui kata sandi atau melewati proteksi MFA korban.

Dampak Serangan di Lapangan

Meskipun peretas sukses menembus gerbang otentikasi awal menggunakan cookie rekayasa, Rapid7 melaporkan adanya anomali hasil di lapangan.

Pada beberapa insiden, perangkat sasis Palo Alto memang menerima cookie palsu tersebut, namun peretas gagal membangun sesi VPN penuh (full VPN session) untuk masuk lebih dalam. Selain itu, hingga akhir Mei 2026, tim analis belum menemukan adanya indikasi suksesnya pergerakan lateral (lateral movement) atau aktivitas peretasan server internal lain pasca-jebolnya VPN tersebut.

Perintah Tegas CISA dan Langkah Mitigasi Darurat

Mengingat tingginya risiko keamanan yang ditimbulkan, CISA resmi memasukkan CVE-2026-0257 ke dalam katalog Known Exploited Vulnerability (KEV). CISA mengeluarkan instruksi tegas yang mewajibkan seluruh badan federal dan menyarankan korporasi swasta untuk menerapkan mitigasi penuh paling lambat tanggal 1 Juni 2026.

Bagi organisasi yang mengoperasikan perangkat Palo Alto GlobalProtect VPN, berikut adalah tiga langkah penanganan yang harus segera diambil:

Langkah 1: Terapkan Patch Keamanan Resmi (Prioritas Utama)

Segera unduh dan pasang pembaruan perangkat lunak (hotfix/firmware update) PAN-OS versi terbaru yang dirilis resmi oleh Palo Alto Networks untuk menutup celah logika dekripsi cookie.

Langkah 2: Matikan Fitur Authentication Override (Mitigasi Sementara)

Jika pembaruan sistem belum bisa dilakukan dalam waktu dekat karena terkendala jadwal pemeliharaan (maintenance window), administrator dapat mematikan fitur ini untuk sementara guna menutup celah masuk peretas:

  • Masuk ke panduan konfigurasi portal/gateway GlobalProtect.
  • Ubah status pada opsi “Enable Authentication Override” menjadi Disabled / Nonaktif.

Langkah 3: Pisahkan Sertifikat Digital Layanan

Jika Anda terpaksa harus tetap mengaktifkan fitur Authentication Override, pastikan Anda menggunakan sertifikat digital yang berbeda dari sertifikat yang digunakan untuk mengamankan layanan web HTTPS umum pada perangkat tersebut. Jangan pernah membagi atau menggunakan satu sertifikat (shared certificate) untuk beberapa fungsi sirkuit sistem yang berbeda.

Sumber: Palo Alto Networks Security Advisory / Rapid7 MDR Alert / CISA KEV Catalog

Tags
4 minutes ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button