Peretas Eksploitasi Celah Bypass Autentikasi Fortinet yang Baru Ditambal

Produk keamanan jaringan Fortinet kembali menjadi sorotan setelah dua kerentanan kritis yang baru saja ditambal ternyata langsung dieksploitasi oleh peretas. Celah ini memungkinkan akses tidak sah ke akun administrator dan pencurian file konfigurasi sistem.

Detail Kerentanan

• CVE-2025-59718
  • Mempengaruhi FortiOS, FortiProxy, dan FortiSwitchManager.
  • Disebabkan oleh verifikasi tanda tangan kriptografi yang tidak tepat pada pesan SAML.
  • Penyerang dapat masuk tanpa autentikasi sah dengan mengirimkan SAML assertion berbahaya.
• CVE-2025-59719
  • Mempengaruhi FortiWeb.
  • Masalah serupa pada validasi tanda tangan kriptografi SAML, memungkinkan akses admin tanpa autentikasi melalui SSO palsu.

Kedua celah ini hanya dapat dieksploitasi jika fitur FortiCloud SSO aktif. Meski bukan pengaturan default, fitur ini otomatis aktif saat perangkat didaftarkan melalui antarmuka FortiCare.

Eksploitasi di Lapangan

Peneliti dari Arctic Wolf mengamati serangan mulai 12 Desember, dengan aktivitas berasal dari beberapa alamat IP terkait The Constant Company, BL Networks, dan Kaopu Cloud HK.

• Target utama adalah akun administrator dengan login SSO berbahaya.
• Setelah masuk, peretas mengakses antarmuka manajemen web dan mengunduh file konfigurasi sistem.

File konfigurasi ini sangat sensitif karena berisi:

• Peta jaringan
• Layanan yang menghadap internet
• Kebijakan firewall
• Tabel routing
• Password yang di-hash (berisiko dibobol jika lemah)

Eksfiltrasi file menunjukkan aktivitas ini bukan sekadar pemetaan endpoint, melainkan operasi berbahaya yang bisa mendukung serangan lanjutan.

Versi Aman

Kerentanan ini memengaruhi banyak versi produk Fortinet, kecuali:

• FortiOS 6.4
• FortiWeb 7.0 dan 7.2

Fortinet merekomendasikan admin untuk segera menonaktifkan login FortiCloud SSO hingga pembaruan dilakukan. Caranya: System → Settings → Allow administrative login using FortiCloud SSO = Off

Versi yang sudah menambal celah:

• FortiOS: 7.6.4+, 7.4.9+, 7.2.12+, 7.0.18+
• FortiProxy: 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+
• FortiSwitchManager: 7.2.7+, 7.0.6+
• FortiWeb: 8.0.1+, 7.6.5+, 7.4.10+

Rekomendasi Tambahan

• Rotasi kredensial firewall jika ada tanda kompromi.
• Batasi akses manajemen firewall/VPN hanya dari jaringan internal terpercaya.