Lebih dari 10 Ribu Firewall Fortinet Masih Rentan terhadap Eksploitasi Bypass 2FA

Lebih dari 10.000 perangkat firewall Fortinet dilaporkan masih terekspos ke internet dan rentan terhadap serangan aktif yang memanfaatkan celah bypass autentikasi dua faktor (2FA) kritis yang telah berusia hampir lima tahun. Kerentanan ini memungkinkan penyerang mengakses sistem tanpa melewati lapisan keamanan tambahan yang seharusnya melindungi perangkat.

Celah keamanan tersebut tercatat sebagai CVE-2020-12812 dan pertama kali ditambal Fortinet pada Juli 2020 melalui rilis FortiOS versi 6.4.1, 6.2.4, dan 6.0.10. Saat itu, Fortinet juga menyarankan administrator yang belum dapat melakukan pembaruan untuk menonaktifkan fitur sensitivitas huruf besar-kecil pada nama pengguna sebagai langkah mitigasi sementara guna mencegah upaya bypass 2FA.

Kerentanan ini diklasifikasikan sebagai kelemahan autentikasi yang tidak semestinya, dengan tingkat keparahan sangat tinggi, yakni 9,8 dari 10. Masalah ini ditemukan pada fitur FortiGate SSL VPN dan memungkinkan penyerang masuk ke firewall yang belum diperbarui tanpa diminta faktor autentikasi kedua, seperti FortiToken, hanya dengan memodifikasi penggunaan huruf besar dan kecil pada nama pengguna.

Pekan lalu, Fortinet kembali memperingatkan pelanggan bahwa CVE-2020-12812 masih dieksploitasi secara aktif. Serangan ini menargetkan firewall dengan konfigurasi tertentu, khususnya yang mengaktifkan LDAP sebagai bagian dari proses autentikasi.

Menurut Fortinet, aktivitas eksploitasi terbaru yang terdeteksi di lapangan menunjukkan bahwa kerentanan lama ini masih dimanfaatkan secara agresif, terutama pada perangkat yang tidak mengikuti rekomendasi konfigurasi keamanan sejak perbaikan pertama kali dirilis.

Data terbaru dari lembaga pemantau keamanan internet Shadowserver menunjukkan bahwa saat ini terdapat lebih dari 10.000 firewall Fortinet yang masih terbuka ke internet dan belum ditambal terhadap CVE-2020-12812. Dari jumlah tersebut, lebih dari 1.300 alamat IP teridentifikasi berada di Amerika Serikat.

Ancaman terhadap perangkat Fortinet bukanlah hal baru. Pada April 2021, badan keamanan siber Amerika Serikat dan FBI telah memperingatkan adanya kelompok peretas yang disponsori negara yang menargetkan FortiOS dengan berbagai eksploitasi, termasuk penyalahgunaan CVE-2020-12812 untuk melewati 2FA. Beberapa bulan kemudian, kerentanan ini resmi dimasukkan ke dalam daftar kerentanan yang diketahui telah dieksploitasi dan dikaitkan dengan serangan ransomware, dengan tenggat waktu mitigasi ketat bagi lembaga pemerintah.

Dalam beberapa tahun terakhir, kerentanan Fortinet memang kerap menjadi sasaran serangan, termasuk eksploitasi zero-day. Sejumlah celah autentikasi kritis dilaporkan dimanfaatkan untuk pembajakan akun administrator, serangan single sign-on berbahaya, hingga penyusupan jaringan tingkat nasional menggunakan malware akses jarak jauh khusus.

Kondisi ini kembali menegaskan pentingnya pembaruan sistem secara berkala dan audit konfigurasi keamanan, terutama untuk perangkat perimeter seperti firewall yang langsung terhubung ke internet. Kerentanan lama yang diabaikan terbukti tetap menjadi pintu masuk efektif bagi serangan siber berskala besar.