CISA Desak Pengguna Fortinet Amankan Perangkat Pasca Kebocoran Data Massal “FortiBleed”

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan peringatan mendesak kepada seluruh pengguna Fortinet untuk segera mengamankan perangkat mereka. Imbauan ini diterbitkan menyusul terjadinya kebocoran data berskala masif yang meloloskan hampir 74.000 data kredensial firewall dan VPN ke publik, dalam sebuah insiden keamanan yang diberi nama sandi “FortiBleed”.

Peringatan dari lembaga pemerintah tersebut dirilis setelah terdeteksi adanya aktivitas aktor ancaman siber yang memanfaatkan data kredensial bocor tersebut untuk mengincar perangkat Fortinet yang terhubung ke jaringan internet publik. Serangan siber ini dilaporkan telah menyasar berbagai organisasi sektor pemerintahan maupun swasta di berbagai belahan dunia.

Dalam pernyataan resminya, CISA mengonfirmasi telah menerima laporan global mengenai aktivitas berbahaya tersebut. Insiden FortiBleed ini melibatkan eksposur data login yang terkait dengan sekitar 74.000 perangkat Fortinet, termasuk di dalamnya mencakup unit firewall eksternal serta gerbang (gateway) Virtual Private Network (VPN).

Merespons ancaman kritis ini, CISA meminta para pemilik perangkat FortiGate yang terdampak untuk segera mengambil langkah mitigasi cepat. Langkah pertama yang harus dilakukan adalah memutus seluruh sesi SSL VPN serta sesi administratif yang sedang aktif berjalan. Setelah itu, pengelola jaringan diwajibkan melakukan reset total pada seluruh password VPN dan akun administratif sistem.

Guna memperketat perimeter pertahanan, CISA juga mendesak implementasi sistem otentikasi multifaktor (MFA) yang memiliki ketahanan terhadap serangan phishing (phishing-resistant). Para administrator jaringan pun diminta melakukan audit mendalam pada log sistem guna mendeteksi adanya indikasi akses ilegal atau pergerakan lateral (lateral movement) dari penyusup di dalam jaringan internal.

Lebih lanjut, regulasi teknis yang disarankan oleh CISA mencakup penyimpanan kredensial admin dengan memanfaatkan algoritma enkripsi modern berbasis Password-Based Key Derivation Function 2 (PBKDF2). Para pelanggan Fortinet juga diimbau untuk membatasi akses antarmuka manajemen firewall agar tidak dapat diakses langsung dari jaringan internet publik, serta menghapus akun-akun tidak sah guna memperkecil celah serangan (attack surface) seminimal mungkin.

Kebocoran data raksasa FortiBleed ini pertama kali diidentifikasi oleh peneliti keamanan siber eksternal, Volodymyr “Bob” Diachenko. Peneliti tersebut menemukan sebuah server terbuka yang berisi tumpukan data kredensial login Fortinet VPN yang valid. Tumpukan data tersebut memuat informasi sensitif mulai dari nama pengguna (username), alamat email, hingga password dalam bentuk teks biasa (plaintext) yang terikat dengan 73.932 URL firewall di seluruh dunia.

Hal yang membuat temuan ini semakin mengkhawatirkan adalah adanya detail data tambahan mengenai klasifikasi industri, jumlah pendapatan tahunan, serta jumlah total karyawan dari masing-masing organisasi korban. Menurut analisis, kompilasi data demografis korporasi ini sengaja disusun oleh pelaku kejahatan siber untuk membantu mempermudah pemetaan dan perencanaan target serangan strategis di masa mendatang.

Perusahaan intelijen ancaman siber, Hudson Rock, yang turut melakukan analisis mendalam terhadap dataset tersebut, mendeskripsikan temuan ini sebagai salah satu koleksi kredensial Fortinet terkompromi terbesar dalam sejarah keamanan jaringan. Data bocor ini tercatat mencakup 21.632 domain unik yang tersebar di 194 negara.

Di antara ribuan entitas yang representasi datanya bocor dalam database tersebut, terdapat nama-nama perusahaan raksasa multinasional seperti Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T, dan Toyota. Selain sektor korporasi makro, kebocoran ini juga berdampak pada banyak instansi pemerintah serta operator infrastruktur kritis yang bergerak di sektor telekomunikasi, layanan kesehatan, industri keuangan, hingga sektor manufaktur global. Adapun sebaran geografis perangkat terdampak paling tinggi terdeteksi berada di wilayah India, Amerika Serikat, Taiwan, Meksiko, Turki, Thailand, Kolombia, Malaysia, Cile, dan Uni Emirat Arab.

Berdasarkan hasil investigasi teknis, operasi pengumpulan data ini diduga kuat dijalankan oleh kelompok peretas (threat group) berbahasa Rusia. Kelompok tersebut disinyalir telah melancarkan sekitar 1,16 miliar upaya serangan credential-stuffing terhadap lebih dari 320.000 target FortiGate demi mencegat kode hash otentikasi SSL VPN milik korban. Meskipun metode pengumpulan datanya telah terpetakan, sumber utama tempat file konfigurasi tersebut dicuri pertama kali hingga kini masih belum diketahui secara pasti.

Validitas data kredensial yang bocor ini juga telah dikonfirmasi secara independen oleh pakar keamanan siber terkemuka, Kevin Beaumont. Dalam analisisnya, ia mencatat bahwa sebagian besar dari puluhan ribu perangkat yang kredensialnya bocor tersebut saat ini masih berada dalam kondisi aktif dan terhubung ke internet. Data yang disajikan dikonfirmasi merupakan data valid terbaru yang tampaknya diekstrak dari file konfigurasi internal sistem Fortinet. Namun, sejauh ini belum dapat dipastikan apakah data tersebut dicuri melalui eksploitasi celah keamanan (vulnerability) lama, memanfaatkan bug zero-day baru, atau menggunakan metodologi serangan lainnya.

Sebagai langkah penanganan darurat bagi komunitas global, Hudson Rock telah meluncurkan alat pemindai khusus (FortiBleed lookup tool) secara gratis untuk membantu organisasi memeriksa apakah sistem mereka masuk ke dalam daftar korban yang bocor. Di sisi lain, eskalasi serangan terhadap ekosistem Fortinet dilaporkan terus meningkat, di mana laporan terbaru dari firma Defused menunjukkan beberapa celah keamanan kritikal pada platform deteksi ancaman FortiSandbox kini mulai aktif dieksploitasi dalam berbagai serangan siber di lapangan. Secara total, CISA kini tengah memantau ketat 26 celah keamanan pada produk Fortinet yang aktif disalahgunakan dalam beberapa tahun terakhir, di mana 13 di antaranya kerap dimanfaatkan untuk melancarkan serangan ransomware.

Sumber: CISA