Fortinet Blokir Zero-Day FortiCloud SSO yang Dieksploitasi Aktif Sambil Menunggu Patch Resmi
Perusahaan keamanan jaringan Fortinet mengonfirmasi adanya kerentanan kritis zero-day pada mekanisme FortiCloud Single Sign-On (SSO) yang telah dieksploitasi secara aktif di dunia nyata. Celah keamanan ini kini dilacak sebagai CVE-2026-24858 dan memungkinkan penyerang memperoleh akses administratif ke perangkat Fortinet milik pelanggan lain melalui jalur autentikasi alternatif.
Sebagai langkah darurat, Fortinet menyatakan telah memblokir sementara akses FortiCloud SSO dari sisi server untuk perangkat yang menjalankan firmware rentan, sembari menyiapkan patch permanen.
Akses Admin Lewat Jalur Autentikasi Alternatif
Kerentanan CVE-2026-24858 dikategorikan sebagai authentication bypass using an alternate path or channel, dengan skor CVSS 9,4 (critical). Celah ini disebabkan oleh kontrol akses yang tidak tepat pada FortiCloud SSO, sehingga penyerang yang memiliki akun FortiCloud dan perangkat terdaftar dapat melakukan autentikasi ke perangkat milik pelanggan lain selama fitur SSO aktif.
Kerentanan ini berdampak pada berbagai produk Fortinet, termasuk FortiOS, FortiManager, dan FortiAnalyzer. Menariknya, eksploitasi tetap berhasil dilakukan meskipun perangkat target telah sepenuhnya diperbarui terhadap kerentanan FortiCloud SSO sebelumnya yang ditambal pada Desember 2025.
Serangan Terungkap dari Laporan Pelanggan
Kasus ini mencuat setelah sejumlah administrator melaporkan bahwa perangkat FortiGate mereka dibobol pada 21 Januari 2026, dengan pola serangan yang konsisten. Penyerang masuk melalui FortiCloud SSO, lalu membuat akun administrator lokal baru di perangkat korban.
Awalnya, insiden ini diduga sebagai bypass patch dari CVE-2025-59718. Namun, investigasi lanjutan mengungkap adanya jalur serangan baru yang tetap aktif pada sistem yang sudah fully patched.
Menurut Fortinet, eksploitasi terpantau menggunakan akun FortiCloud berbahaya seperti:
Akun-akun tersebut telah dinonaktifkan pada 22 Januari 2026.
Langkah Mitigasi Darurat Fortinet
Fortinet mengambil sejumlah langkah cepat dari sisi server untuk menghentikan eksploitasi sebelum patch tersedia:
- 22 Januari 2026: Akun FortiCloud yang disalahgunakan dikunci.
- 26 Januari 2026: FortiCloud SSO dinonaktifkan secara global dari sisi FortiCloud.
- 27 Januari 2026: FortiCloud SSO diaktifkan kembali, namun diblokir untuk perangkat dengan firmware rentan.
Dengan perubahan ini, Fortinet menegaskan bahwa tidak diperlukan tindakan di sisi klien untuk mencegah eksploitasi selama mekanisme pemblokiran server-side aktif, meskipun FortiCloud SSO tetap diaktifkan pada perangkat.
Indikator Kompromi dan Risiko Lanjutan
Fortinet mengingatkan bahwa perangkat yang menunjukkan indikator kompromi harus dianggap sepenuhnya dibobol. Aktivitas penyerang yang teramati meliputi pengunduhan konfigurasi perangkat dan pembuatan akun admin seperti backup, itadmin, secadmin, hingga system.
Koneksi mencurigakan juga tercatat berasal dari sejumlah alamat IP tertentu. Administrator yang menemukan indikasi tersebut disarankan untuk:
- Meninjau seluruh akun administrator
- Mengembalikan konfigurasi dari backup yang dipastikan bersih
- Melakukan rotasi seluruh kredensial
Fortinet juga memperingatkan bahwa celah serupa berpotensi berdampak pada implementasi SAML SSO lainnya, bukan hanya FortiCloud SSO.
Sebagai langkah pencegahan tambahan, administrator dapat menonaktifkan FortiCloud SSO secara manual hingga patch dirilis.
Patch Masih Dalam Pengembangan
Fortinet mengonfirmasi bahwa patch resmi masih dalam tahap pengembangan untuk FortiOS, FortiManager, dan FortiAnalyzer. Sementara itu, mitigasi berbasis server dianggap cukup untuk menahan eksploitasi aktif.
Perusahaan juga masih menyelidiki apakah produk lain, seperti FortiWeb dan FortiSwitch Manager, turut terdampak oleh kerentanan ini.
