Pengawas keamanan internet Shadowserver telah menemukan lebih dari 25.000 perangkat Fortinet terekspos secara online dengan SSO FortiCloud diaktifkan, di tengah serangan yang sedang berlangsung yang menargetkan kerentanan bypass otentikasi kritis.
Fortinet mencatat pada tanggal 9 Desember ketika itu menambal kelemahan keamanan dilacak sebagai CVE-2025-59718 (FortiOS, FortiProxy, FortiSwitchManager) dan CVE-2025-59719 (FortiWeb), bahwa fitur login SSO FortiCloud yang rentan tidak diaktifkan hingga admin mendaftarkan perangkat ke layanan dukungan FortiCare perusahaan.
Sebagai perusahaan keamanan siber Arctic Wolf dilaporkan pada hari Seninkerentanan tersebut kini dieksploitasi secara aktif untuk menyusupi akun admin melalui login sistem masuk tunggal (SSO) yang berbahaya.
Pelaku ancaman menyalahgunakannya pada produk yang rentan melalui pesan SAML perusak yang berbahaya untuk mendapatkan akses tingkat admin ke antarmuka manajemen web dan mengunduh file konfigurasi sistem. File-file sensitif ini mengekspos antarmuka yang berpotensi rentan, kata sandi hash yang mungkin diretas oleh penyerang, layanan yang terhubung ke internet, tata letak jaringan, dan kebijakan firewall.
Hari ini, Kata server bayangan itu pelacakan lebih dari 25.000 alamat IP dengan sidik jari SSO FortiCloud, lebih dari 5.400 di Amerika Serikat dan hampir 2.000 di India.
Namun, saat ini belum ada informasi mengenai berapa banyak yang telah diamankan dari serangan yang mengeksploitasi kerentanan CVE-2025-59718/CVE-2025-59719.
Peneliti ancaman Macnica Yutaka Sejiyama juga mengatakan kepada BleepingComputer bahwa pemindaiannya mengembalikan lebih dari 30.000 perangkat Fortinet dengan FortiCloud SSO diaktifkan, yang juga mengekspos antarmuka manajemen web yang rentan ke internet.
“Mengingat seberapa sering kerentanan GUI admin FortiOS dieksploitasi di masa lalu, mengejutkan bahwa banyak antarmuka admin yang tetap dapat diakses publik,” kata Sejiyama.
Pada hari Selasa, CISA ditambahkan autentikasi FortiCloud SSO mengabaikan kelemahannya katalog kerentanan yang dieksploitasi secara aktifmemerintahkan lembaga pemerintah AS untuk melakukan patch dalam waktu seminggu, paling lambat tanggal 23 Desember, seperti yang diamanatkan oleh Petunjuk Operasional yang Mengikat 22-01.
Kelemahan keamanan Fortinet sering kali dieksploitasi oleh kelompok spionase dunia maya, kejahatan dunia maya, atau ransomware, sering kali sebagai kerentanan zero-day.
Misalnya pada bulan Februari, Fortinet diungkapkan itu yang terkenal kejam Kelompok peretas Volt Typhoon Tiongkok mengeksploitasi dua kelemahan FortiOS SSL VPN (CVE-2023-27997 dan CVE-2022-42475) untuk melakukan backdoor Kementerian Pertahanan Belanda jaringan militer menggunakan malware trojan akses jarak jauh (RAT) Coathanger khusus.
Baru-baru ini, pada bulan November, Fortinet memperingatkan tentang zero-day FortiWeb (CVE-2025-58034) dieksploitasi di alam liar, satu minggu setelahnya mengkonfirmasikan bahwa mereka secara diam-diam telah menambal zero-day FortiWeb lainnya (CVE-2025-64446) itu tadi disalahgunakan dalam serangan yang meluas.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
