Palo Alto Networks mengatakan kerentanan PAN-OS GlobalProtect sedang dieksploitasi secara aktif
Serangan aktif terhadap VPN perusahaan
Palo Alto Networks memperingatkan bahwa penyerang secara aktif mengeksploitasi kerentanan bypass otentikasi PAN-OS GlobalProtect yang dapat memungkinkan mereka membuat koneksi VPN tanpa izin pada perangkat perusahaan.
Kerentanan tersebut, tercatat sebagai CVE-2026-0257, telah diperbaiki awal bulan ini. Palo Alto awalnya menilainya sebagai tingkat keparahan Medium, mengatakan eksploitasi memerlukan perangkat dikonfigurasi dengan cookie override otentikasi diaktifkan dan pengaturan sertifikat tertentu. Pada hari Jumat, perusahaan merevisi advisornya, mengatakan bahwa mereka menyadari upaya eksploitasi terbatas terhadap perangkat PAN-OS yang belum dipatch tanpa mitigasi dan menaikkan isu tersebut menjadi tingkat keparahan High.
"GlobalProtect portal and gateway of Palo Alto Networks PAN-OS software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection," kata perusahaan dalam advisornya.
Pembaruan ini mengikuti peringatan terpisah dari Rapid7, yang mengatakan telah mengamati eksploitasi berhasil di banyak pelanggan mulai 17 Mei. Rapid7 mengatakan mereka tidak melihat bukti gerakan lateral yang berhasil dari perangkat yang terkena, tetapi mencatat bahwa kerentanan tersebut telah ditambahkan ke katalog CISA Known Exploited Vulnerabilities sejak 29 Mei 2026.
Menurut Rapid7, serangan menggunakan cookie override otentikasi palsu untuk mengautentikasi ke gateway GlobalProtect dan menargetkan akun administrator lokal. Perusahaan mengatakan pertama kali melihat eksploitasi pada 18 Mei dari infrastruktur yang di-host oleh Vultr, diikuti gelombang kedua pada 21 Mei yang berasal dari Dromatics Systems.
Dalam beberapa kasus, penyerang berhasil terhubung ke perangkat melalui VPN menggunakan cookie palsu dan mendapatkan akses ke jaringan internal. Dalam insiden lain, appliance menerima cookie palsu tetapi sesi VPN penuh tidak bisa dibuat.
Rapid7 mengatakan perangkat yang terpengaruh memiliki cookie override otentikasi GlobalProtect diaktifkan dan dikonfigurasi sedemikian rupa sehingga memungkinkan penyerang memalsukan cookie yang valid. Masalah ini berasal dari proses validasi PAN-OS: perangkat VPN mendekripsi cookie menggunakan private key yang dikonfigurasi dan mempercayai isi yang didekripsi tanpa melakukan verifikasi tanda tangan. Jika sertifikat yang sama digunakan untuk layanan HTTPS dan cookie override otentikasi, penyerang dapat memperoleh public key melalui sesi HTTPS dan menggunakannya untuk membuat cookie yang diterima perangkat sebagai sah.
Sumber:
Doppler VPN: 6 lokasi server, protokol VLESS, tanpa pelacakan. Mulai gratis.