Celah Autentikasi VPN Palo Alto Sedang Aktif Diserang, Badan Siber AS Beri Batas Waktu Hari Ini

Serangan ini tidak memerlukan interaksi pengguna dan tidak memerlukan hak istimewa pada sistem target. Serangan dapat dilakukan melalui jaringan dengan kompleksitas rendah, yang menjelaskan mengapa skor akhirnya ditetapkan sebagai ancaman kritis .

Eskalasi Keparahan yang Cepat: Dari Sedang ke Kritis

Ketika Palo Alto Networks pertama kali menerbitkan imbauan keamanannya pada 13 Mei 2026, perusahaan mengklasifikasikan CVE-2026-0257 sebagai kerentanan berkeparahan sedang dengan skor CVSS 7.8 . Banyak outlet berita keamanan masih menyebarkan penilaian awal ini.

Namun, analisis ulang oleh National Vulnerability Database (NVD), yang diikuti oleh lembaga pemerintah lainnya, secara dramatis menaikkan skor tersebut. Berlaku mulai 29 Mei 2026, NVD memperkaya data dan skor resmi pemerintah dinaikkan menjadi peringkat kritis CVSS v3.1 sebesar 9.1 . Badan Keamanan Siber Singapura (CSA) dan berbagai umpan CVE kini juga mencerminkan peringkat kritis 9.1 tersebut . Kesenjangan antara penilaian awal vendor dan penilaian akhir pemerintah ini adalah detail krusial yang menyebabkan banyak organisasi menunda penambalan selama minggu-minggu pertama eksploitasi.

Garis Waktu Serangan: Dua Gelombang dari IP Vultr

Rentang waktu dari pengungkapan hingga eksploitasi aktif berlangsung sangat singkat. Tim Deteksi dan Respons Terkelola (MDR) Rapid7 mengamati eksploitasi pertama yang berhasil dimulai pada 17 Mei, hanya empat hari setelah imbauan diterbitkan . Pada 29 Mei, CISA menambahkan CVE-2026-0257 ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (KEV) dan menetapkan batas waktu perbaikan wajib untuk lembaga federal AS: 1 Juni 2026 .

Dua gelombang serangan berbeda telah dikonfirmasi. Gelombang pertama berasal dari infrastruktur yang dihosting oleh Vultr pada 17-18 Mei, dan gelombang kedua mengikuti dari infrastruktur Dromatics Systems pada 21 Mei . Analisis intelijen menunjukkan bahwa alamat MAC yang konsisten digunakan di kedua gelombang tersebut, yang menunjukkan bahwa satu aktor ancaman yang sama bertanggung jawab . Dalam setiap kasus yang diamati, penyerang memalsukan cookie authentication override untuk langsung menargetkan akun administrator lokal pada perangkat yang dibobol .

Yang krusial, meskipun Rapid7 mengonfirmasi bahwa koneksi VPN berhasil dibuat di 8 dari 10 pelanggan MDR yang terdampak, penyelidik belum mengamati adanya pergerakan lateral yang berhasil dari perangkat yang dibobol . Detail ini memberikan sedikit, namun kritis, jendela kesempatan bagi para pembela keamanan untuk membendung intrusi sebelum penyerang bergerak lebih dalam ke jaringan.

Kode Eksploitasi dan Produk yang Terdampak

Risiko ini diperparah dengan tersedianya kode eksploitasi untuk publik. Berbagai laporan intelijen mengonfirmasi bahwa setidaknya satu, dan kemungkinan beberapa, kode proof-of-concept ada di repositori publik, sehingga menurunkan hambatan bagi serangan tambahan .

Produk yang terdampak telah didefinisikan dengan jelas. Kerentanan ini berdampak pada PAN-OS versi 10.2, 11.1, 11.2, dan 12.1 pada firewall PA-Series dan VM-Series, serta Prisma Access . Dua lini produk utama secara eksplisit tidak terpengaruh: perangkat manajemen Panorama dan Cloud NGFW (Next-Generation Firewall) .

Langkah Mitigasi dan Perbaikan Segera

Palo Alto Networks telah merilis tambalan untuk semua cabang firmware yang didukung. Versi perangkat lunak yang diperbarui berisi perbaikan yang sekarang menolak cookie palsu tersebut .

Strategi mitigasi paling komprehensif melibatkan empat tindakan segera.

Pertama, tingkatkan PAN-OS ke versi tertambal terbaru untuk cabang Anda. Rilis yang diperbaiki untuk PAN-OS 12.1 mencakup versi 12.1.4-h6 dan 12.1.7; untuk 11.2, versi 11.2.4-h17, 11.2.7-h14, 11.2.10-h7, dan 11.2.12; dan versi yang sesuai tersedia untuk 11.1 dan 10.2 . Tenant Prisma Access juga harus diperbarui ke versi yang telah diperbaiki.

Kedua, jika fitur authentication override cookies tidak benar-benar penting untuk operasi bisnis Anda, nonaktifkan fitur itu sepenuhnya. Ini menghilangkan prakondisi rentan, bukan hanya eksploitasinya .

Ketiga, konfigurasikan ulang penerapan sertifikat. Jangan pernah menggunakan kembali sertifikat yang sama untuk antarmuka manajemen HTTPS dan untuk enkripsi cookie GlobalProtect. Menggunakan sertifikat khusus untuk enkripsi cookie memutus mekanisme yang memungkinkan cookie palsu dapat dibuat .

Keempat, mulailah audit log aktif segera. Cari peristiwa pembuatan sesi yang tidak wajar, koneksi dari IP yang tidak dikenal—khususnya dari infrastruktur penyerang yang dikenal seperti Vultr ASN—dan penggunaan authentication override cookie yang tidak terduga . Dengan pergerakan lateral yang belum dikonfirmasi, audit log saat ini adalah alat terbaik Anda untuk mengidentifikasi apakah pembobolan telah terjadi.

Batas waktu 1 Juni dari CISA adalah hari ini. Organisasi yang belum menerapkan tambalan ini sekarang beroperasi di bawah paparan yang terkonfirmasi, sedang dieksploitasi secara aktif, dengan tingkat keparahan kritis. Jendela kesempatan untuk menambal sebelum harus melakukan investigasi forensik, alih-alih tindakan preventif, sedang menutup.