Fortinet Akui Celah Autentikasi FortiCloud Belum Sepenuhnya Ditambal

Fortinet mengonfirmasi bahwa mereka masih berupaya menuntaskan penanganan celah keamanan kritis pada mekanisme autentikasi FortiCloud SSO yang memungkinkan bypass login, meskipun patch awal telah dirilis sejak awal Desember. Pengakuan ini muncul setelah sejumlah administrator melaporkan bahwa firewall Fortinet yang telah diperbarui sepenuhnya tetap berhasil ditembus oleh penyerang.

Masalah ini berkaitan dengan kerentanan CVE-2025-59718, yang kembali dieksploitasi melalui jalur serangan baru. Laporan menunjukkan adanya kampanye aktif sejak 15 Januari, di mana penyerang secara otomatis membuat akun dengan akses VPN dan mengekstraksi konfigurasi firewall hanya dalam hitungan detik. Pola serangan tersebut disebut sangat mirip dengan insiden yang terjadi pada Desember, tak lama setelah kerentanan ini pertama kali diungkap ke publik.

Fortinet menyatakan bahwa aktivitas berbahaya yang terdeteksi saat ini konsisten dengan eksploitasi sebelumnya. Namun, temuan terbaru mengindikasikan bahwa sebagian serangan berhasil menargetkan perangkat yang sudah menjalankan versi perangkat lunak terbaru pada saat insiden terjadi. Fakta ini mengarah pada dugaan adanya jalur eksploitasi tambahan yang belum sepenuhnya tertutup oleh patch awal.

Sejumlah pelanggan Fortinet juga membagikan log yang memperlihatkan pembuatan akun administrator setelah login SSO, dengan indikator yang selaras dengan temuan investigasi independen. Aktivitas tersebut memperkuat kesimpulan bahwa eksploitasi berlangsung secara luas dan terotomatisasi, serta berpotensi berdampak besar pada lingkungan jaringan yang terpapar.

Pihak Fortinet menyampaikan bahwa tim keamanan produk telah mengidentifikasi sumber masalah dan tengah menyiapkan perbaikan lanjutan. Perusahaan berjanji akan menerbitkan advisory resmi setelah cakupan dan jadwal penambalan final ditetapkan. Saat ini, eksploitasi yang teramati memang terbatas pada FortiCloud SSO, namun Fortinet menegaskan bahwa isu ini berpotensi memengaruhi seluruh implementasi SAML SSO.

Sambil menunggu patch final, Fortinet merekomendasikan langkah mitigasi sementara. Administrator diminta membatasi akses administratif ke perangkat edge dari internet dengan kebijakan lokal yang hanya mengizinkan alamat IP tertentu. Selain itu, fitur FortiCloud SSO untuk login administratif disarankan untuk dinonaktifkan sementara waktu melalui pengaturan sistem.

Bagi organisasi yang menemukan indikator kompromi pada perangkatnya, Fortinet menyarankan agar sistem dianggap telah terkompromi. Langkah lanjutan meliputi rotasi seluruh kredensial, termasuk akun LDAP atau Active Directory, serta pemulihan konfigurasi dari cadangan yang diyakini bersih.

Lembaga pemantau keamanan internet mencatat ribuan perangkat Fortinet masih terekspos secara online dengan FortiCloud SSO aktif. Kerentanan ini juga telah dimasukkan ke dalam daftar eksploitasi aktif oleh otoritas keamanan siber, dengan tenggat penanganan ketat bagi instansi pemerintah. Hingga kini, Fortinet belum memberikan tanggapan tambahan terkait detail teknis maupun jadwal pasti rilis patch lanjutan.