Lebih dari 25.000 Perangkat FortiCloud SSO Terpapar Serangan Jarak Jauh

Lebih dari 25.000 perangkat Fortinet dilaporkan terekspos ke internet dengan fitur FortiCloud Single Sign-On (SSO) aktif, di tengah maraknya eksploitasi celah keamanan kritis yang memungkinkan bypass autentikasi. Temuan ini diungkap oleh lembaga pemantau keamanan internet Shadowserver, yang menyoroti besarnya permukaan serangan akibat konfigurasi sistem yang tidak diamankan secara optimal.

Fortinet sebelumnya mengonfirmasi bahwa celah keamanan tersebut telah ditambal pada 9 Desember lalu. Kerentanan ini tercatat sebagai CVE-2025-59718 yang berdampak pada FortiOS, FortiProxy, dan FortiSwitchManager, serta CVE-2025-59719 yang memengaruhi FortiWeb. Meski demikian, Fortinet menegaskan bahwa fitur login FortiCloud SSO tidak aktif secara default dan baru dapat digunakan setelah administrator mendaftarkan perangkat ke layanan dukungan FortiCare.

Namun, laporan terbaru menunjukkan bahwa kerentanan tersebut kini telah dieksploitasi secara aktif. Perusahaan keamanan siber Arctic Wolf mengungkapkan bahwa penyerang memanfaatkan celah ini untuk mengambil alih akun administrator melalui proses login SSO berbahaya. Teknik yang digunakan melibatkan pesan SAML yang dimodifikasi secara khusus untuk memperoleh akses tingkat admin ke antarmuka manajemen web.

Setelah berhasil masuk, pelaku ancaman dapat mengunduh file konfigurasi sistem yang berisi informasi sensitif. Data tersebut mencakup antarmuka jaringan yang berpotensi rentan, kata sandi dalam bentuk hash yang dapat dipecahkan, layanan yang terbuka ke internet, topologi jaringan internal, hingga kebijakan firewall. Informasi ini dapat dimanfaatkan untuk serangan lanjutan yang lebih kompleks.

Shadowserver mencatat lebih dari 25.000 alamat IP yang teridentifikasi memiliki fingerprint FortiCloud SSO. Dari jumlah tersebut, lebih dari 5.400 berada di Amerika Serikat dan hampir 2.000 terdeteksi di India. Hingga saat ini, belum ada kejelasan mengenai berapa banyak perangkat yang telah diamankan dari eksploitasi CVE-2025-59718 dan CVE-2025-59719.

Peneliti ancaman dari Macnica, Yutaka Sejiyama, juga melaporkan hasil pemindaian yang menunjukkan lebih dari 30.000 perangkat Fortinet dengan FortiCloud SSO aktif dan antarmuka manajemen web yang dapat diakses langsung dari internet. Ia menilai kondisi ini mengkhawatirkan, mengingat kerentanan pada antarmuka administrasi FortiOS kerap menjadi target eksploitasi dalam beberapa tahun terakhir.

Situasi ini mendorong Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) untuk memasukkan celah bypass autentikasi FortiCloud SSO ke dalam daftar kerentanan yang sedang dieksploitasi secara aktif. Lembaga tersebut memerintahkan seluruh instansi pemerintah AS untuk menerapkan pembaruan keamanan dalam waktu satu minggu, sesuai dengan ketentuan Binding Operational Directive 22-01.

Kerentanan pada produk Fortinet memang kerap dimanfaatkan oleh berbagai kelompok, mulai dari spionase siber hingga sindikat ransomware, bahkan sering kali dalam bentuk zero-day. Sebelumnya, jaringan militer Kementerian Pertahanan Belanda dilaporkan disusupi melalui eksploitasi celah FortiOS SSL VPN oleh kelompok peretas asal Tiongkok. Dalam kasus lain yang lebih baru, Fortinet juga memperingatkan adanya eksploitasi zero-day FortiWeb yang terjadi hanya beberapa hari setelah tambalan keamanan dirilis secara diam-diam.