Perangkat Fortinet FortiGate Dibobol Hacker, Konfigurasi Firewall Dicuri
Perangkat firewall Fortinet FortiGate dilaporkan menjadi sasaran serangan otomatis yang menciptakan akun ilegal dan mengekspor konfigurasi firewall dalam hitungan detik. Temuan ini diungkap oleh perusahaan keamanan siber Arctic Wolf, yang mencatat aktivitas berbahaya mulai terdeteksi sejak 15 Januari 2026.
Menurut laporan tersebut, penyerang memanfaatkan celah yang belum sepenuhnya teridentifikasi pada fitur single sign-on (SSO) FortiGate. Dengan teknik ini, mereka dapat membuat akun baru dengan akses VPN lalu mencuri data konfigurasi firewall secara cepat, mengindikasikan proses yang sepenuhnya terotomatisasi.
Mirip Eksploitasi Celah Autentikasi Sebelumnya
Arctic Wolf menyebut pola serangan kali ini sangat mirip dengan insiden yang mereka dokumentasikan pada Desember 2025, menyusul terungkapnya kerentanan bypass autentikasi kritis CVE-2025-59718. Celah tersebut memungkinkan penyerang yang tidak terautentikasi untuk melewati proses SSO pada FortiGate melalui pesan SAML berbahaya, khususnya ketika fitur FortiCloud SSO diaktifkan.
Meski Fortinet telah merilis patch sebelumnya, para peneliti menilai belum jelas apakah pembaruan tersebut sepenuhnya menutup celah yang kini dieksploitasi. Bahkan, sejumlah administrator melaporkan bahwa versi FortiOS terbaru masih memungkinkan terjadinya bypass autentikasi, menandakan adanya kelemahan lanjutan.
Indikasi Teknis dan Skala Dampak
Dalam beberapa log yang dibagikan oleh pelanggan Fortinet, terlihat pembuatan akun administrator baru setelah login SSO dari alamat email mencurigakan dan alamat IP tertentu. Indikator kompromi ini sejalan dengan temuan Arctic Wolf dalam analisis serangan FortiGate terbaru maupun eksploitasi yang terjadi pada Desember lalu.
Data pemantauan juga menunjukkan ribuan perangkat Fortinet masih terekspos di internet dengan FortiCloud SSO aktif. Kondisi ini meningkatkan risiko serangan lanjutan, terutama sebelum perbaikan menyeluruh dirilis.
Langkah Mitigasi Sementara
Hingga Fortinet merilis patch final yang benar-benar menutup celah ini, administrator disarankan untuk menonaktifkan fitur login administratif menggunakan FortiCloud SSO jika tidak benar-benar dibutuhkan. Langkah ini dapat secara signifikan mengurangi permukaan serangan dan mencegah pembuatan akun ilegal.
Otoritas keamanan siber Amerika Serikat juga telah memasukkan CVE-2025-59718 ke dalam daftar kerentanan yang aktif dieksploitasi, serta meminta organisasi untuk segera melakukan mitigasi.
Imbauan untuk Pengguna FortiGate
Para pengguna FortiGate dianjurkan untuk meningkatkan pemantauan log, membatasi akses administratif, serta mengikuti rilis pembaruan FortiOS terbaru dalam beberapa hari ke depan. Kegagalan melakukan langkah pengamanan ini berpotensi membuka jalan bagi pencurian konfigurasi firewall, yang dapat digunakan penyerang untuk memahami dan menembus jaringan internal organisasi.
