Fortinet merilis pembaruan keamanan untuk menutup dua kerentanan kritis pada FortiOS, FortiWeb, FortiProxy, dan FortiSwitchManager yang memungkinkan penyerang melewati autentikasi FortiCloud SSO.
Detail Kerentanan
Kerentanan ini dilacak sebagai:
- CVE-2025-59718 (FortiOS, FortiProxy, FortiSwitchManager)
- CVE-2025-59719 (FortiWeb)
Keduanya dapat dieksploitasi melalui pesan SAML berbahaya yang memanfaatkan kelemahan verifikasi tanda tangan kriptografi.
Fortinet menegaskan bahwa fitur FortiCloud SSO tidak aktif secara default. Namun, ketika perangkat didaftarkan ke FortiCare melalui GUI dan opsi Allow administrative login using FortiCloud SSO tidak dimatikan, maka fitur ini otomatis aktif.
Mitigasi Sementara
Administrator disarankan untuk menonaktifkan login FortiCloud SSO hingga sistem diperbarui ke versi aman. Langkah yang dapat dilakukan:
- GUI: Masuk ke System > Settings lalu matikan opsi Allow administrative login using FortiCloud SSO.
- CLI:Code
config system global set admin-forticloud-sso-login disable end
Kerentanan Tambahan
Selain dua celah utama, Fortinet juga menambal:
- CVE-2025-59808: memungkinkan penyerang yang sudah mengakses akun korban mengganti kredensial tanpa diminta memasukkan kata sandi.
- CVE-2025-64471: memungkinkan autentikasi menggunakan hash sebagai pengganti kata sandi.
Riwayat Eksploitasi Fortinet
Kerentanan produk Fortinet kerap menjadi target serangan, bahkan sebagai zero-day.
- Februari 2025: kelompok Volt Typhoon asal Tiongkok mengeksploitasi dua celah SSL VPN FortiOS (CVE-2023-27997 dan CVE-2022-42475) untuk menyusup ke jaringan Kementerian Pertahanan Belanda dengan malware RAT Coathanger.
- Agustus 2025: Fortinet menambal celah injeksi perintah (CVE-2025-25256) di FortiSIEM setelah lonjakan serangan brute-force terhadap SSL VPN.
- November 2025: Fortinet memperingatkan adanya eksploitasi aktif terhadap zero-day FortiWeb (CVE-2025-58034), setelah sebelumnya diam-diam menambal celah lain yang masif dieksploitasi (CVE-2025-64446).
Rekomendasi
Administrator sistem harus segera memperbarui perangkat ke versi terbaru dan menonaktifkan FortiCloud SSO login bila aktif. Langkah ini penting untuk mencegah eksploitasi yang berpotensi digunakan dalam serangan ransomware maupun spionase siber.