Firewall FortiGate yang Sudah Dipatch Dilaporkan Tetap Dibobol Hacker
Sejumlah administrator jaringan melaporkan bahwa perangkat firewall Fortinet FortiGate yang sudah dipatch masih dapat diretas oleh penyerang. Insiden ini terjadi akibat adanya patch bypass terhadap kerentanan autentikasi kritis yang sebelumnya telah diperbaiki, yaitu CVE-2025-59718.
Kerentanan tersebut berkaitan dengan fitur FortiCloud Single Sign-On (SSO) pada FortiGate. Meski Fortinet telah merilis pembaruan keamanan, penyerang kini diketahui mampu melewati mekanisme perbaikan tersebut dan tetap mendapatkan akses tidak sah ke sistem firewall yang seharusnya sudah aman.
Bypass Patch Jadi Celah Baru
Menurut laporan dari para admin, eksploitasi terbaru memanfaatkan celah yang memungkinkan penyerang melewati patch autentikasi FortiCloud SSO. Kondisi ini membuat firewall yang telah diperbarui tetap berisiko, khususnya jika fitur login administratif melalui FortiCloud masih diaktifkan.
Fortinet sendiri menyarankan langkah mitigasi sementara hingga rilis FortiOS yang benar-benar tertutup dari celah ini tersedia. Administrator diminta untuk menonaktifkan fitur login administrator menggunakan FortiCloud SSO jika fitur tersebut aktif di perangkat mereka.
Dampak dan Skala Risiko
Dalam penjelasan resminya, Fortinet menegaskan bahwa fitur FortiCloud SSO tidak aktif secara default pada perangkat yang tidak terdaftar FortiCare. Hal ini diharapkan dapat mengurangi jumlah perangkat yang benar-benar terdampak.
Namun demikian, data pemantauan menunjukkan risiko tetap signifikan. Pada pertengahan Desember, lebih dari 25.000 perangkat Fortinet terdeteksi online dengan FortiCloud SSO aktif. Hingga kini, masih terdapat sekitar 11.000 perangkat yang tetap dapat diakses dari internet dan berpotensi menjadi target serangan.
Perhatian dari Otoritas Keamanan
Lembaga keamanan siber Amerika Serikat, CISA, juga telah memasukkan CVE-2025-59718 ke dalam daftar kerentanan yang aktif dieksploitasi di dunia nyata. Instansi pemerintah federal bahkan diperintahkan untuk melakukan mitigasi dan penanganan dalam waktu satu minggu sejak peringatan dikeluarkan.
Sebagai tambahan, penyerang juga dilaporkan mulai mengeksploitasi kerentanan kritis lain pada produk Fortinet, yaitu FortiSIEM, yang memiliki proof-of-concept exploit publik. Celah tersebut memungkinkan eksekusi kode dengan hak akses root pada perangkat yang belum dipatch.
Imbauan untuk Administrator
Hingga pembaruan permanen tersedia, administrator FortiGate disarankan untuk:
- Menonaktifkan FortiCloud SSO jika tidak benar-benar diperlukan
- Membatasi akses administratif dari internet
- Memantau log dan aktivitas mencurigakan secara lebih ketat
- Mengikuti rilis pembaruan keamanan Fortinet terbaru secara berkala
Langkah-langkah ini menjadi penting untuk mencegah kompromi sistem lebih lanjut di tengah meningkatnya eksploitasi aktif terhadap infrastruktur keamanan jaringan.
