Penyerang siber saat ini tengah mengeksploitasi kerentanan keamanan pada teknologi VPN GlobalProtect PAN-OS dari Palo Alto Networks (PAN). Celah yang dilacak sebagai CVE-2026-0257 ini memungkinkan peretas untuk mem-bypassproses autentikasi dan mendapatkan akses masuk VPN tanpa memerlukan kredensial yang sah.

Meskipun Palo Alto Networks telah menambal cacat ini pada bulan Mei, mereka baru saja memperbarui peringatan keamanan yang mengonfirmasi adanya upaya eksploitasi aktif pada perangkat PAN-OS yang belum ditambal. Menindaklanjuti temuan ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) secara resmi memasukkan kerentanan ini ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (Known Exploited Vulnerabilities / KEV) pada 29 Mei 2026.

Baca Juga: Hoaks Kebocoran 4,9 Juta Data BCA dan Realitas Ancaman Siber Sektor Perbankan

Kerentanan ini pada awalnya diberi skor sistem penilaian kerentanan umum (CVSS) sebesar 7.8 (Medium/Sedang) oleh peneliti internal perusahaan. Skor ini diberikan karena eksploitasi membutuhkan kondisi konfigurasi yang sangat spesifik, yakni portal atau gateway GlobalProtect harus diatur untuk mengaktifkan authentication override cookies sekaligus menggunakan konfigurasi sertifikat tertentu.

Namun, para pakar keamanan menilai skor tersebut tidak mencerminkan realitas ancaman di lapangan:

"Peringkat itu pada dasarnya benar berdasarkan kalkulasi CVSS4 karena dampak langsungnya adalah koneksi VPN tanpa memperhitungkan dampak turunan ke jaringan yang mendasarinya; tetapi secara operasional, perbedaan itu tidak ada artinya. Sesi VPN tanpa autentikasi sebagai admin ke dalam jaringan internal adalah peristiwa kritis, titik." — Denis Calderon, CTO Suzu Labs.

Peneliti dari firma keamanan Rapid7 juga mendesak organisasi untuk memperlakukan cacat ini sebagai ancaman tingkat kritis, bukan sekadar tingkat sedang, karena dampak yang ditimbulkan dari bypass autentikasi pada perangkat VPN perusahaan sangatlah fatal.

Masalah ini berakar pada fitur "authentication override" yang memungkinkan portal atau gateway GlobalProtect mengeluarkan cookie kepada pengguna yang telah diautentikasi. Cookie ini bertindak mirip dengan token pembawa (bearer token) yang memungkinkan pengguna melewati proses masuk ulang.

Fitur ini sebenarnya tidak aktif secara default. Namun, celah terjadi ketika eksploitasi memanfaatkan kesalahan konfigurasi administratif:

• Penggunaan Ulang Sertifikat: Kerentanan terbuka jika administrator menggunakan sertifikat yang sama untuk layanan HTTPS dan untuk mengenkripsi cookie authentication override.
• Pencurian dan Pemalsuan: Dengan menggunakan sertifikat yang sama, penyerang dapat memperoleh kunci publik sertifikat tersebut. Sistem pada akhirnya mempercayai cookie yang didekripsi tanpa memverifikasi keasliannya.
• Akses Ilegal: Penyerang kemudian dapat menghasilkan cookie palsu yang diterima oleh gateway VPN PAN sebagai sesi autentikasi yang sah.

Karena perangkat VPN merupakan pintu gerbang utama menuju jaringan internal korporat, penambalan harus dilakukan secara mendesak.

1. Pembaruan Segera: Terapkan patch resmi dari vendor Palo Alto Networks pada perangkat yang terdampak secepat mungkin.
2. Pemisahan Sertifikat Mutlak: Jika penambalan belum memungkinkan, hasilkan sertifikat baru yang didedikasikan secara eksklusif untuk cookie authentication-override dan simpan dengan aman. Jangan pernah membagikan atau menggunakan ulang sertifikat portal/gateway ini untuk fitur lain.
3. Nonaktifkan Fitur Otorisasi: Untuk perlindungan instan, administrator dapat menonaktifkan fitur authentication override sepenuhnya dengan menghapus semua centang pada opsi pembuatan dan penerimaan cookie di konfigurasi portal dan gateway GlobalProtect.