Peretas mengeksploitasi kerentanan tingkat kritis yang memengaruhi beberapa produk Fortinet untuk mendapatkan akses tidak sah ke akun admin dan mencuri file konfigurasi sistem.
Kedua kerentanan tersebut dilacak sebagai CVE-2025-59718 dan CVE-2025-59719, dan Fortinet memperingatkan dalam sebuah penasehat pada tanggal 9 Desember tentang potensi eksploitasi.
CVE-2025-59718 adalah bypass autentikasi SSO FortiCloud yang memengaruhi FortiOS, FortiProxy, dan FortiSwitchManager. Hal ini disebabkan oleh verifikasi tanda tangan kriptografi yang tidak tepat dalam pesan SAML, sehingga memungkinkan penyerang masuk tanpa autentikasi yang valid dengan mengirimkan pernyataan SAML perusak yang berbahaya.
CVE-2025-59719 adalah bypass autentikasi SSO FortiCloud yang memengaruhi FortiWeb. Masalah ini muncul dari masalah serupa dengan validasi tanda tangan kriptografi pesan SAML, yang memungkinkan akses administratif yang tidak diautentikasi melalui SSO palsu.
Kedua masalah tersebut hanya dapat dieksploitasi jika FortiCloud SSO diaktifkan, yang bukan merupakan pengaturan default. Namun, kecuali fitur tersebut dinonaktifkan secara eksplisit, fitur tersebut akan diaktifkan secara otomatis saat mendaftarkan perangkat melalui antarmuka pengguna FortiCare.
Menargetkan akun admin
Para peneliti di perusahaan keamanan siber Arctic Wolf mengamati serangan yang mengeksploitasi dua kerentanan keamanan tersebut mulai tanggal 12 Desember. Mereka mencatat bahwa intrusi tersebut berasal dari beberapa alamat IP yang terkait dengan The Constant Company, BL Networks, dan Kaopu Cloud HK.
Berdasarkan pengamatan Arctic Wolf, penyerang menargetkan akun admin dengan login sistem masuk tunggal (SSO) yang berbahaya, seperti yang terlihat pada log di bawah ini:
Sumber: Serigala Arktik
Setelah memperoleh akses tingkat admin, peretas mengakses antarmuka manajemen web dan melakukan tindakan seperti mengunduh file konfigurasi sistem.
Sumber: Serigala Arktik
File konfigurasi dapat mengekspos tata letak jaringan, layanan yang terhubung ke internet, kebijakan firewall, antarmuka yang berpotensi rentan, tabel perutean, dan juga kata sandi hash yang mungkin dapat diretas jika lemah.
Eksfiltrasi file-file ini menunjukkan bahwa aktivitas tersebut bukan berasal dari peneliti yang memetakan titik akhir yang rentan, karena eksploitasi adalah bagian dari operasi jahat yang mungkin mendukung serangan di masa depan.
Memblokir serangan
Kedua kelemahan ini berdampak pada beberapa versi produk Fortinet kecuali FortiOS 6.4, FortiWeb 7.0, dan FortiWeb 7.2.
Untuk mencegah serangan, Fortinet menyarankan agar admin yang masih menjalankan versi rentan menonaktifkan sementara fitur login FortiCloud hingga peningkatan ke versi yang lebih aman dapat dilakukan.
Ini bisa dilakukan dari Sistem → Pengaturan → “Izinkan login administratif menggunakan FortiCloud SSO” = Mati.
Administrator sistem disarankan untuk pindah ke salah satu versi berikut yang mengatasi kedua kerentanan:
- FortiOS 7.6.4+, 7.4.9+, 7.2.12+, dan 7.0.18+
- FortiProxy 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+
- FortiSwitchManager 7.2.7+, 7.0.6+
- FortiWeb 8.0.1+, 7.6.5+, 7.4.10+
Jika ditemukan tanda-tanda penyusupan, disarankan untuk merotasi kredensial firewall sesegera mungkin. Arctic Wolf juga merekomendasikan untuk membatasi akses manajemen firewall/VPN hanya pada jaringan internal tepercaya.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
