Fortinet FortiSandbox Dihantam Eksploitasi Massal Celah Keamanan Kritis
Kabar darurat bagi para administrator infrastruktur jaringan. Firma intelijen ancaman siber Defused mengeluarkan peringatan bahwa kelompok peretas saat ini tengah gencar mengeksploitasi rangkaian celah keamanan kritis pada platform deteksi ancaman Fortinet FortiSandbox.
Meskipun Fortinet telah merilis pembaruan (patch) keamanan untuk mengatasi tiga bug berbahaya ini sejak 14 April 2026, telemetri keamanan dalam 24 jam terakhir menunjukkan adanya lonjakan aktivitas eksploitasi aktif di dunia nyata oleh para aktor instruksi siber.
Tiga Celah Kritis yang Menjadi Target Eksploitasi
Rangkaian kerentanan ini sangat diwaspadai karena memiliki kompleksitas serangan yang rendah (low complexity), dapat dieksekusi dari jarak jauh tanpa memerlukan interaksi dari pengguna korban (no user interaction), serta tidak membutuhkan proses autentikasi akun (unauthenticated).
| Identifikasi Celah | Karakteristik & Status Eksploitasi Aktual di Lapangan |
| CVE-2026-39813 | KRITIS. Celah Command Injection yang memungkinkan peretas mengeksekusi kode ilegal jarak jauh (RCE). Baru pertama kali terdeteksi aktif dieksploitasi di alam liar minggu ini. |
| CVE-2026-39808 | KRITIS. Digunakan penyerang untuk menaikkan level hak akses (privilege escalation) secara tidak sah ke tingkat tertinggi sistem. |
| CVE-2026-25089 | KRITIS. Defused mencatat adanya kode eksploitasi yang beredar, namun kodenya terindikasi cacat atau rusak (faulty exploit). Hingga kini, kode eksploit murni yang bekerja sempurna belum bocor ke publik. |
Metode Serangan Berantai (Exploit Chaining):
Selain tiga celah kritis di atas, Defused mendeteksi peretas menyandingkan serangan mereka dengan CVE-2025-61624 (celah path traversal berstatus keparahan sedang). Meskipun celah ini membutuhkan hak akses tinggi, peretas mengombinasikannya dengan celah pemeras akun di atas untuk menguasai server sepenuhnya.
Potensi Bahaya: Target Utama Geng Ransomware dan Spionase
Perangkat FortiSandbox bertugas sebagai benteng isolasi pintar untuk menguji berkas mencurigakan sebelum masuk ke jaringan utama perusahaan. Ketika platform ini berhasil dikuasai peretas, fungsi pertahanan siber organisasi otomatis lumpuh.
Secara historis, produk Fortinet yang terekspos ke internet selalu menjadi target buruan utama bagi:
- Aktor Spionase Siber (Cyber Espionage): Menggunakan celah ini sebagai gerbang masuk awal (initial access) untuk menyusup ke jaringan pemerintahan, militer, dan telekomunikasi secara senyap.
- Sindikat Ransomware: Memanfaatkan hak akses administrator yang didapat dari eksploitasi untuk menyebarkan enkripsi massal ke seluruh komputer di dalam jaringan internal perusahaan.
Sebagai gambaran skala ancaman, Badan Keamanan Siber dan Infrastruktur AS (CISA) saat ini mencatat ada 26 kerentanan produk Fortinet yang aktif disalahgunakan dalam beberapa tahun terakhir, di mana 13 di antaranya menjadi senjata andalan kartel pemeras ransomware. Kasus serupa juga terjadi pada Maret lalu, di mana celah SQL Injection pada FortiClient EMS (CVE-2026-21643) langsung dieksploitasi massal hanya berselang satu bulan setelah tambalan dirilis.
Tindakan Pencegahan Segera
Karena serangan ini menargetkan sistem yang belum ditambal (unpatched systems), tidak ada langkah mitigasi sementara yang dinilai efektif selain melakukan pembaruan perangkat lunak secara total.
Para administrator jaringan diinstruksikan untuk segera melakukan tindakan berikut tanpa penundaan:
- Lakukan Upgrade: Migrasikan seluruh instalasi FortiSandbox Anda ke versi Firmware paling baru yang dirilis Fortinet pasca-April 2026.
- Audit Jejak Akses: Periksa log aktivitas eksternal pada alat FortiSandbox untuk melihat apakah ada aktivitas perintah injeksi asing atau upaya koneksi mencurigakan yang terjadi dalam beberapa hari terakhir.
Sumber: Defused Threat Intelligence Network & Fortinet Product Security Advisory
