CVE-2026-0300: Admin Palo Alto PAN-OS Harus Kunci Captive Portal Sekarang

Istilah “eksploitasi terbatas” bukan alasan untuk menunda. Center for Internet Security menyebut eksploitasi menargetkan User-ID Authentication Portal yang terekspos ke alamat IP tidak tepercaya dan/atau internet publik, sementara pelanggan yang membatasi portal sensitif ke jaringan internal tepercaya memiliki risiko yang jauh lebih rendah . Unit 42 juga menyatakan risiko unauthenticated remote code execution meningkat signifikan saat portal terekspos ke internet publik atau jaringan tidak tepercaya .

Sistem yang harus dicek lebih dulu

Mulailah dari firewall Palo Alto Networks PA-Series dan VM-Series yang menjalankan PAN-OS dan mengaktifkan User-ID Authentication Portal/Captive Portal . Pelaporan publik mengenai penilaian Palo Alto mencatat skor CVSS 9,3 ketika portal dikonfigurasi agar dapat diakses dari internet atau jaringan tidak tepercaya, turun menjadi 8,7 ketika akses dibatasi hanya ke alamat IP internal tepercaya . Namun, risiko yang lebih rendah bukan berarti risiko sudah hilang: sistem yang hanya dapat diakses internal tetap perlu mengikuti jalur remediasi PAN-OS yang direkomendasikan vendor .

Unit 42 menyatakan Prisma Access, Cloud NGFW, dan appliance Panorama tidak terdampak oleh kerentanan ini . Informasi itu membantu mempersempit daftar triase, tetapi tidak menggantikan audit terhadap deployment PA-Series dan VM-Series, terutama lingkungan yang pernah mengekspos Captive Portal ke alamat IP tidak tepercaya .

Rencana tindakan untuk admin PAN-OS

1. Temukan semua deployment User-ID Authentication Portal

Inventarisasi semua firewall PAN-OS dan identifikasi perangkat PA-Series maupun VM-Series yang mengaktifkan User-ID Authentication Portal/Captive Portal . Untuk setiap perangkat, catat apakah portal dapat diakses dari internet, dari jaringan tidak tepercaya, atau hanya dari rentang IP internal tepercaya. Perlakukan akses publik atau akses dari jaringan tidak tepercaya sebagai prioritas tertinggi karena di sanalah risiko eksploitasi paling meningkat .

2. Batasi atau matikan akses portal sekarang

Batasi User-ID Authentication Portal hanya ke jaringan internal tepercaya. Jika pembatasan itu tidak bisa dijamin, nonaktifkan akses portal sampai perangkat dapat diremediasi. Cyber Security Agency Singapura menyarankan pengguna dan administrator versi terdampak untuk membatasi atau menonaktifkan akses portal sampai pembaruan keamanan tersedia .

3. Patch berdasarkan advisory Palo Alto, bukan tabel versi salinan

CERT-EU merekomendasikan pembaruan appliance terdampak sesegera mungkin ketika patch tersedia, sambil menerapkan workaround dan mitigasi sementara . Gunakan advisory CVE-2026-0300 dari Palo Alto Networks sebagai sumber otoritatif untuk mengetahui versi PAN-OS yang terdampak dan versi perbaikan terbaru sesuai cabang PAN-OS Anda .

4. Validasi ulang kontrol eksposur setelah patching

Jangan berasumsi update software saja sudah menyelesaikan risiko deployment. Setelah patching, pastikan User-ID Authentication Portal tidak lagi dapat dijangkau dari internet publik atau jaringan tidak tepercaya, kecuali ada kebutuhan bisnis yang terdokumentasi dan kontrol kompensasi yang jelas. Membatasi portal sensitif ke jaringan internal tepercaya disebut sebagai postur praktik terbaik yang sangat mengurangi risiko .

5. Investigasi firewall yang pernah terekspos

Setiap firewall terdampak dengan portal yang sempat terbuka ke jaringan tidak tepercaya perlu menjalani penilaian kompromi sebelum kembali dianggap tepercaya. Simpan log, tinjau trafik portal, cek perubahan konfigurasi yang tidak wajar, dan cari tanda aktivitas pasca-eksploitasi. Alasannya sederhana: eksploitasi yang berhasil dapat memberi penyerang eksekusi kode tanpa autentikasi dengan hak root pada firewall .

Untuk lembaga federal AS: perlakukan sebagai darurat KEV

Bagi tim federal Amerika Serikat yang berada dalam proses CISA KEV, CVE-2026-0300 bukan sekadar advisory vendor. CISA adalah badan keamanan siber dan infrastruktur AS, sementara KEV adalah katalog kerentanan yang diketahui telah dieksploitasi. Canadian Centre for Cyber Security melaporkan bahwa CISA menambahkan CVE-2026-0300 ke katalog KEV pada 6 Mei 2026 , dan laporan terkini mencatat bahwa lembaga federal diarahkan untuk meremediasi kerentanan dalam KEV berdasarkan BOD 22-01 .

Tim instansi sebaiknya menyimpan jejak bukti untuk penemuan aset, pembatasan atau penonaktifan portal, status patch, validasi versi PAN-OS yang sudah diperbaiki, bukti bahwa tidak ada jalur akses dari jaringan tidak tepercaya, serta hasil penilaian kompromi untuk firewall yang pernah terekspos.

Jika patch belum bisa dipasang segera

Pertahankan mitigasi sampai rilis perbaikan yang tepat tersedia dan terpasang untuk deployment terdampak. Jika bisnis tidak bisa menoleransi penonaktifan Captive Portal, batasi akses ke rentang IP internal tepercaya dan tingkatkan pemantauan. Jika patching maupun pembatasan yang andal tidak mungkin dilakukan, isolasi firewall dari akses tidak tepercaya atau cabut layanan yang terekspos sampai remediasi selesai. Sisa risikonya terlalu besar: dapat dijangkau lewat jaringan, tidak butuh autentikasi, dapat diautomasi, dan sudah dilaporkan dieksploitasi .

Kesalahan yang perlu dihindari

• Jangan menunggu jadwal maintenance rutin jika portal terekspos ke internet atau jaringan tidak tepercaya; konfigurasi itulah yang digambarkan sebagai kondisi paling berisiko dalam advisory yang tersedia .
• Jangan menganggap pembatasan internal-only sebagai perbaikan permanen. Itu menurunkan risiko, tetapi perangkat terdampak tetap perlu mengikuti jalur remediasi PAN-OS yang sesuai .
• Jangan menjadikan daftar versi dari pihak ketiga sebagai rujukan akhir. Gunakan advisory Palo Alto untuk status vendor dan panduan versi terbaru .
• Jangan berhenti di patching jika firewall pernah terekspos selama periode eksploitasi. Lakukan peninjauan kompromi karena celah ini dapat memungkinkan eksekusi kode dengan hak root .

Postur aman minimum untuk saat ini: putuskan akses tidak tepercaya ke User-ID Authentication Portal, ikuti advisory Palo Alto untuk patching, dan investigasi setiap firewall yang pernah terekspos sebelum mengembalikannya ke status tepercaya .