Fortinet Peringatkan Zero-Day Baru di FortiWeb yang Sedang Dieksploitasi dalam Serangan
Fortinet merilis pembaruan keamanan untuk menambal kerentanan zero-day baru pada produk FortiWeb, yang dikonfirmasi sedang dieksploitasi secara aktif oleh pelaku ancaman. Celah ini dilacak sebagai CVE-2025-58034 dan memungkinkan eksekusi kode melalui serangan injeksi perintah OS.
Kerentanan OS Command Injection
CVE-2025-58034 dilaporkan oleh Jason McFadyen dari tim Trend Research Trend Micro. Kerentanan ini memungkinkan penyerang yang telah terautentikasi mengeksekusi kode tidak sah pada perangkat FortiWeb hanya dengan mengirim permintaan HTTP atau perintah CLI yang telah dimanipulasi. Serangan ini tergolong low complexity dan tidak membutuhkan interaksi pengguna.
Fortinet mengkonfirmasi bahwa kerentanan ini telah dieksploitasi di dunia nyata. Trend Micro melaporkan sekitar 2.000 deteksi serangan yang memanfaatkan celah ini.
Patch Tersedia — Segera Perbarui
Admin FortiWeb diminta untuk segera memperbarui perangkat mereka dengan versi yang dirilis hari ini. Berikut daftar versi yang terdampak dan versi perbaikan yang direkomendasikan:
| Versi FortiWeb | Rentang Versi Terdampak | Versi Aman |
|---|---|---|
| 8.0 | 8.0.0 – 8.0.1 | Upgrade ke 8.0.2+ |
| 7.6 | 7.6.0 – 7.6.5 | Upgrade ke 7.6.6+ |
| 7.4 | 7.4.0 – 7.4.10 | Upgrade ke 7.4.11+ |
| 7.2 | 7.2.0 – 7.2.11 | Upgrade ke 7.2.12+ |
| 7.0 | 7.0.0 – 7.0.11 | Upgrade ke 7.0.12+ |
Pembaruan ini sangat penting mengingat tingkat eksploitasi aktif yang sudah terjadi.
Zero-Day Lain Baru Ditambal Minggu Lalu
Hanya beberapa hari sebelumnya, Fortinet juga mengonfirmasi bahwa mereka telah secara diam-diam menambal CVE-2025-64446, sebuah zero-day FortiWeb lainnya yang sedang dieksploitasi secara luas. Kerentanan tersebut memungkinkan penyerang membuat akun admin baru pada perangkat yang terekspos internet melalui permintaan HTTP POST. CISA telah menambahkan CVE tersebut ke katalog KEV dan mewajibkan lembaga federal AS untuk menambalnya sebelum 21 November.
Pola Eksploitasi Fortinet
Fortinet menjadi target favorit dalam berbagai kampanye spionase siber dan ransomware, sering kali melalui eksploitasi zero-day. Pada Februari lalu, Fortinet mengungkap bahwa kelompok peretas China Volt Typhoon memanfaatkan dua celah FortiOS SSL VPN untuk menyusup ke jaringan Kementerian Pertahanan Belanda menggunakan malware RAT bernama Coathanger.
Di Agustus 2025, Fortinet juga menambal kerentanan injeksi perintah pada FortiSIEM (CVE-2025-25256) setelah lonjakan besar serangan brute-force pada perangkat SSL VPN mereka.
Dengan meningkatnya pola eksploitasi ini, organisasi yang menggunakan FortiWeb dianjurkan untuk memperbarui perangkat secepat mungkin.
