Ketika Pelindung Sistem Anda Menjadi Pintu Masuk Hacker

Ada ironi pahit dalam insiden keamanan ini. GlobalProtect — solusi VPN milik Palo Alto Networks yang dipercaya jutaan perusahaan di seluruh dunia untuk melindungi akses jaringan mereka — kini memiliki celah yang memungkinkan penyerang masuk ke jaringan korporasi tanpa perlu mengetahui satu kata sandi pun.

Lebih buruk lagi: serangan sudah terjadi.

Sejak 17 Mei 2026, Rapid7 mengamati eksploitasi aktif terhadap CVE-2026-0257 — sebuah kerentanan authentication bypass di GlobalProtect yang memungkinkan siapapun di internet memalsukan cookie sesi VPN hanya dari informasi yang tersedia secara publik di sertifikat HTTPS. CISA bereaksi cepat: kerentanan ini masuk ke daftar Known Exploited Vulnerabilities (KEV) pada 29 Mei 2026, dengan batas waktu patch 19 Juni 2026 untuk semua lembaga federal AS.

Namun ini bukan satu celah — ada dua. Dan keduanya menyerang hal yang sama: mekanisme autentikasi VPN yang seharusnya jadi garis pertahanan terakhir Anda.

Dua CVE, Satu Pesan yang Sama

Palo Alto Networks merilis dua advisory terpisah pada Mei 2026 yang secara bersamaan mengguncang kepercayaan terhadap infrastruktur VPN berbasis GlobalProtect:

Keduanya menyasar GlobalProtect dari sisi yang berbeda, namun tujuannya sama: mendapatkan akses VPN tanpa melalui proses autentikasi yang sebenarnya.

CVE-2026-0257: Cara Penyerang Menempa Kunci Masuk

Untuk memahami betapa seriusnya celah ini, kita perlu memahami cara kerja fitur yang diserang.

Latar Belakang: Authentication Override Cookies

GlobalProtect memiliki fitur bernama authentication override yang memungkinkan pengguna yang sudah terautentikasi menerima sebuah cookie sesi. Cookie ini bekerja seperti tiket masuk: selama sesi berlangsung, pengguna tidak perlu memasukkan kredensial ulang. Server mengenkripsi cookie ini dengan sertifikat khusus, dan mendekripsinya saat pengguna mengirimkan kembali cookie tersebut.

Di situlah masalahnya bermula.

Cacat Desain yang Fatal

Banyak organisasi menggunakan sertifikat yang sama untuk dua tujuan berbeda:

1. Mengenkripsi/mendekripsi authentication override cookies
2. Melayani HTTPS pada portal atau gateway GlobalProtect

Akibatnya, kunci publik dari sertifikat tersebut tersedia untuk siapapun yang mengakses portal via browser — karena itulah cara TLS bekerja, kunci publik memang boleh diketahui publik.

Yang tidak seharusnya terjadi adalah: server sama sekali tidak melakukan verifikasi signature setelah mendekripsi cookie. Fungsi main_DecryptAppAuthCookie mendekripsi cookie menggunakan private key RSA, lalu langsung mempercayai isi yang terdekripsi tanpa memeriksa apakah cookie itu memang dibuat oleh entitas yang sah.

Teknik Serangan Langkah Demi Langkah

Begini cara penyerang mengeksploitasi CVE-2026-0257:

Langkah 1 — Ambil Sertifikat

curl -sk https://[target-globalprotect]/ssl-vpn/login.esp \
  | openssl s_client -connect [target]:443 -showcerts

Penyerang mengambil seluruh certificate chain yang terekspos dari portal GlobalProtect yang menghadap internet.

Langkah 2 — Ekstrak Kunci Publik Kunci publik diekstrak dari sertifikat CA atau sertifikat yang digunakan GlobalProtect. Kunci ini tersedia secara sah — ini bukan eksploitasi kriptografi, melainkan eksploitasi kepercayaan implisit.

Langkah 3 — Tempa Cookie Penyerang membuat cookie autentikasi palsu berisi:

• username: admin (atau nama akun target)
• domain: nama domain organisasi
• host-id: ID perangkat yang diinginkan
• client-os: sistem operasi (misal: Linux atau Windows)
• remote-addr: alamat IP klien
• timestamp: waktu saat ini

Cookie ini dienkripsi menggunakan kunci publik yang didapat dari sertifikat, lalu di-base64-encode.

Langkah 4 — Kirim ke Endpoint

POST /ssl-vpn/login.esp HTTP/1.1
Host: [target-globalprotect]

portal-userauthcookie=[cookie_palsu_base64]&user=[username]&domain=[domain]

Langkah 5 — Sesi VPN Aktif Server mendekripsi cookie, tidak memverifikasi apapun, dan memberikan akses VPN penuh.

Seluruh proses ini dapat otomatis. Rapid7 bahkan merilis skrip publik bernama forge_cookie.py yang secara otomatis menguji setiap sertifikat dalam certificate chain untuk menentukan apakah sistem rentan.

CVE-2026-0265: Ancaman Kedua dari Jalur Cloud

Sementara CVE-2026-0257 menyerang fitur authentication override, CVE-2026-0265 mengincar Cloud Authentication Service (CAS) — komponen opsional yang memungkinkan autentikasi terpusat berbasis cloud.

Kerentanan ini termasuk CWE-347 (Improper Verification of Cryptographic Signature) dan memungkinkan penyerang yang tidak terautentikasi dengan akses jaringan untuk melewati seluruh kontrol autentikasi. Researcher Harsh Jaiswal yang menemukan celah ini menyatakan eksploitasi berhasil melewati portal GlobalProtect dari “multiple corporations” selama pengujian.

Kondisi yang diperlukan untuk kerentanan ini aktif:

• CAS diaktifkan dalam konfigurasi PAN-OS
• CAS profile dilampirkan ke login interface

Palo Alto belum mengonfirmasi eksploitasi aktif untuk CVE-2026-0265. Namun disclosure teknis penuh dijadwalkan, yang kemungkinan akan mempercepat upaya eksploitasi.

Apa yang Sudah Terjadi: Laporan Rapid7 dari Lapangan

Rapid7 Managed Detection and Response (MDR) menganalisis file technical support dari pelanggan yang terdampak dan mendokumentasikan kronologi eksploitasi CVE-2026-0257 yang sangat spesifik:

Timeline Serangan

Sidik Jari Pelaku Ancaman

Yang menarik dari analisis Rapid7: kedua gelombang eksploitasi meninggalkan MAC address yang sama persis — aa:bb:cc:dd:ee:ff. Ini adalah MAC yang jelas-jelas dipalsukan (semua oktet berurutan), dan konsistensinya di dua gelombang dari dua infrastruktur hosting berbeda sangat menunjukkan bahwa keduanya berasal dari threat actor yang sama yang mengubah hosting untuk menghindari pemblokiran berbasis IP.

Machine name yang digunakan selama autentikasi:

• GP-CLIENT → Digunakan pada koneksi Linux (sejak 17 Mei)
• DESKTOP-GP01 → Digunakan pada koneksi Windows (sejak 21 Mei)

Dampak Aktual

Dari 10 pelanggan MDR yang terdampak dalam gelombang kedua, 8 dari 10 hanya mengalami authentication probe tanpa lateral movement berhasil. Namun 2 dari 10 mengalami VPN IP assignment — artinya penyerang berhasil mendapat akses ke segmen jaringan internal.

Tidak ada lateral movement yang terdokumentasi di lingkungan manapun, mengindikasikan ini masih fase reconnaissance masif, bukan serangan destruktif yang ditargetkan.

Versi yang Terdampak dan Versi yang Sudah Aman

CVE-2026-0257

CVE-2026-0265

Rentang versi yang terdampak identik dengan CVE-2026-0257. Versi fixed yang sama berlaku untuk kedua CVE.

Penting: Setelah upgrade, semua pengguna perlu melakukan autentikasi ulang karena implementasi cookie baru yang aman tidak kompatibel dengan cookie lama.

Langkah Mitigasi

Opsi 1 (Paling Direkomendasikan): Patch Segera

Upgrade ke versi yang sudah di-patch sesuai tabel di atas. Ini adalah satu-satunya solusi permanen.

Opsi 2: Workaround CVE-2026-0257

Jika belum bisa langsung patch, ada dua pilihan workaround:

Opsi 2a — Nonaktifkan Authentication Override

Di GlobalProtect portal dan gateway, buka konfigurasi dan hapus centang pada:

• “Generate cookie for authentication override”
• “Accept cookie for authentication override”

Ini menonaktifkan fitur yang rentan sepenuhnya. Dampak: pengguna harus autentikasi ulang di setiap sesi.

Opsi 2b — Gunakan Sertifikat Tersendiri

Buat dan konfigurasi sertifikat yang eksklusif untuk authentication override cookies — tidak boleh digunakan untuk tujuan lain, termasuk HTTPS service portal atau gateway. Ini memastikan kunci publik dari sertifikat HTTPS yang terekspos tidak bisa digunakan untuk memalsukan cookie.

Opsi 3: Workaround CVE-2026-0265

1. Nonaktifkan Cloud Authentication Service (CAS)
2. Beralih ke SAML atau RADIUS untuk autentikasi
3. Batasi akses management interface hanya ke IP tepercaya
4. Aktifkan Threat ID 510008 (untuk subscriber Threat Prevention, PAN-OS 11.2+)
5. Aktifkan vulnerability protection di interface GlobalProtect

Deteksi: Apakah Anda Sudah Diserang?

Tanda-tanda Eksploitasi di Log

Periksa log autentikasi GlobalProtect untuk pola berikut:

# Koneksi dari hostname mencurigakan
machine-name: GP-CLIENT
machine-name: DESKTOP-GP01

# MAC address palsu
mac-address: aa:bb:cc:dd:ee:ff

# IP source dari hosting penyerang
source-ip: 104.207.144.154
source-ip: 146.19.216.119
source-ip: 146.19.216.120
source-ip: 146.19.216.125

# Endpoint yang diserang
POST /ssl-vpn/login.esp
parameter: portal-userauthcookie=[base64_string_panjang]

Skrip Deteksi Kerentanan

Rapid7 merilis skrip forge_cookie.py yang menguji apakah konfigurasi GlobalProtect Anda rentan. Jalankan dari mesin yang memiliki akses ke portal:

python3 forge_cookie.py --target https://[your-globalprotect-portal]

Skrip ini secara otomatis mengambil certificate chain dan menguji setiap sertifikat untuk kemungkinan digunakan memalsukan cookie.

Pemeriksaan Konfigurasi Manual

# Di Palo Alto CLI — periksa konfigurasi authentication override
show config running | match "generate-cookie\|accept-cookie"

# Periksa apakah sertifikat yang sama digunakan untuk HTTPS dan cookie
show config running | match "ssl-tls-service-profile\|cookie-encrypt-cert"

Mengapa Ini Relevan untuk Organisasi di Indonesia

Palo Alto Networks adalah salah satu vendor firewall dan VPN enterprise yang paling banyak digunakan di Indonesia — khususnya di sektor perbankan, telekomunikasi, energi, dan pemerintahan. GlobalProtect adalah solusi VPN yang sangat umum digunakan untuk akses remote karyawan dan kontraktor.

Potensi dampak jika celah ini tidak segera ditangani:

• Akses tidak sah ke jaringan internal tanpa meninggalkan jejak kredensial yang dicuri
• Koneksi VPN dari penyerang yang terlihat sah di log — menggunakan username akun internal yang ada
• Lateral movement ke sistem kritis setelah akses jaringan diperoleh
• Bypass MFA secara penuh — karena serangan terjadi di level cookie, bukan di level input password

Yang memperburuk situasi: CVSS 9.8 sering diremehkan karena Palo Alto sendiri menerbitkan skor CVSSv4 yang lebih rendah (7.8) dalam advisory resminya. Namun Rapid7 secara eksplisit merekomendasikan agar organisasi memperlakukan CVE-2026-0257 sebagai critical — bukan karena skor numerik, melainkan karena implikasi nyata dari authentication bypass di edge VPN yang menghadap internet.

Checklist Respons Cepat

Untuk tim IT/security yang membaca ini, ini prioritas yang perlu dieksekusi sekarang:

1. Audit versi PAN-OS di semua perangkat yang menjalankan GlobalProtect portal atau gateway
2. Periksa konfigurasi sertifikat — apakah sertifikat yang sama digunakan untuk HTTPS dan authentication override cookies?
3. Periksa log autentikasi untuk pola mencurigakan: hostname GP-CLIENT, DESKTOP-GP01, MAC aa:bb:cc:dd:ee:ff, atau IP dari Vultr/Dromatics
4. Terapkan workaround segera jika belum bisa patch: nonaktifkan authentication override atau pisahkan sertifikat
5. Jadwalkan upgrade ke versi yang sudah di-patch sebelum 19 Juni 2026
6. Monitor koneksi VPN baru yang mencurigakan pasca-workaround

Kesimpulan

CVE-2026-0257 adalah pengingat yang menyakitkan bahwa tidak ada teknologi keamanan yang imun. Sebuah desain keputusan yang tampaknya kecil — berbagi sertifikat antara dua fitur berbeda — berujung pada celah yang memungkinkan siapapun di internet masuk ke jaringan korporasi tanpa satu kata sandi pun.

Ironisnya, sertifikat yang seharusnya menjadi fondasi keamanan komunikasi justru menjadi alat bagi penyerang untuk memalsukan identitas. Pelindung sistem menjadi pintu masuk.

Untuk organisasi yang menggunakan GlobalProtect: deadline CISA pada 19 Juni 2026 bukan hanya untuk lembaga federal AS. Ini adalah sinyal yang jelas bahwa eksploitasi sudah aktif, penyerang sudah memiliki kemampuan yang terdistribusi, dan jendela waktu untuk bertindak menyempit setiap harinya.

Sumber: Palo Alto Networks — CVE-2026-0257, Palo Alto Networks — CVE-2026-0265, Rapid7 — Exploitation Analysis CVE-2026-0257, Rapid7 — CVE-2026-0265 ETR, CISA KEV Catalog, The Hacker News