FortiCloud SSO Bocor, Puluhan Ribu Perangkat Fortinet Terancam

Ancaman keamanan siber kembali menghantui infrastruktur digital global. Kali ini, ribuan perangkat keamanan jaringan milik Fortinet dilaporkan berada dalam kondisi rentan dan terbuka terhadap serangan jarak jauh. Lembaga pemantau keamanan internet Shadowserver mengungkapkan bahwa lebih dari 25.000 perangkat Fortinet yang terhubung ke internet terdeteksi mengaktifkan fitur FortiCloud Single Sign-On (SSO), di tengah maraknya eksploitasi celah keamanan kritis pada sistem autentikasi.

Temuan ini menjadi perhatian serius karena Fortinet dikenal sebagai salah satu penyedia solusi keamanan jaringan yang banyak digunakan oleh perusahaan, institusi pemerintah, hingga organisasi skala besar di seluruh dunia. Celah keamanan tersebut berpotensi dimanfaatkan penyerang untuk mengambil alih kendali perangkat, bahkan mengakses informasi sensitif milik organisasi.

Fortinet sendiri telah merilis pembaruan keamanan pada 9 Desember untuk menambal dua celah kritis yang dilacak sebagai CVE-2025-59718, yang berdampak pada FortiOS, FortiProxy, dan FortiSwitchManager, serta CVE-2025-59719 yang memengaruhi FortiWeb. Dalam keterangannya, Fortinet menjelaskan bahwa fitur login FortiCloud SSO sebenarnya tidak aktif secara default. Fitur tersebut baru akan aktif jika administrator secara sengaja mendaftarkan perangkat ke layanan dukungan FortiCare.

Meski demikian, laporan terbaru dari perusahaan keamanan siber Arctic Wolf menyebutkan bahwa celah ini kini telah dieksploitasi secara aktif oleh pelaku kejahatan siber. Para penyerang memanfaatkan mekanisme login single sign-on (SSO) yang telah dimodifikasi secara berbahaya untuk mengambil alih akun administrator.

Teknik serangan yang digunakan tergolong canggih. Pelaku mengirimkan pesan SAML yang dirancang secara khusus untuk melewati proses autentikasi. Dengan cara ini, mereka dapat memperoleh akses tingkat administrator ke antarmuka manajemen berbasis web milik perangkat Fortinet. Setelah berhasil masuk, penyerang dapat mengunduh file konfigurasi sistem yang sangat sensitif.

File konfigurasi tersebut menyimpan berbagai informasi penting, mulai dari daftar antarmuka jaringan yang berpotensi rentan, kata sandi dalam bentuk hash yang bisa dipecahkan, layanan yang terbuka ke internet, topologi jaringan internal, hingga kebijakan firewall. Jika jatuh ke tangan yang salah, data ini dapat digunakan untuk melancarkan serangan lanjutan yang lebih besar dan merusak.

Shadowserver mencatat bahwa saat ini mereka melacak lebih dari 25.000 alamat IP yang terdeteksi memiliki sidik jari FortiCloud SSO. Dari jumlah tersebut, lebih dari 5.400 perangkat berada di Amerika Serikat dan hampir 2.000 lainnya terdeteksi di India. Namun, belum ada data pasti mengenai berapa banyak dari perangkat-perangkat tersebut yang sudah menerapkan pembaruan keamanan dan terlindungi dari eksploitasi.

Ancaman ini diperkuat oleh temuan peneliti keamanan dari Macnica, Yutaka Sejiyama. Ia mengungkapkan bahwa hasil pemindaian independen yang dilakukannya menemukan lebih dari 30.000 perangkat Fortinet dengan FortiCloud SSO aktif dan antarmuka manajemen web yang terbuka langsung ke internet.

Menurut Sejiyama, kondisi ini cukup mengkhawatirkan. Mengingat rekam jejak eksploitasi celah keamanan pada antarmuka admin FortiOS di masa lalu, masih banyaknya antarmuka administrator yang dapat diakses publik menunjukkan lemahnya penerapan praktik keamanan dasar di sejumlah organisasi.

Situasi ini juga mendapat perhatian serius dari pemerintah Amerika Serikat. Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memasukkan celah bypass autentikasi FortiCloud SSO ke dalam katalog kerentanan yang aktif dieksploitasi. CISA mewajibkan seluruh lembaga pemerintah federal AS untuk segera melakukan pembaruan keamanan dalam waktu satu minggu, paling lambat 23 Desember, sesuai dengan ketentuan Binding Operational Directive 22-01.

Bukan kali ini saja produk Fortinet menjadi sasaran empuk pelaku kejahatan siber. Dalam beberapa tahun terakhir, celah keamanan Fortinet kerap dimanfaatkan oleh kelompok spionase siber, penjahat dunia maya, hingga sindikat ransomware, bahkan sering kali dalam bentuk zero-day vulnerability yang belum diketahui publik.

Sebagai contoh, pada Februari lalu Fortinet mengungkap bahwa kelompok peretas asal China yang dikenal sebagai Volt Typhoon mengeksploitasi dua celah FortiOS SSL VPN untuk menyusup ke jaringan militer Kementerian Pertahanan Belanda. Dalam serangan tersebut, pelaku menanamkan malware akses jarak jauh khusus bernama Coathanger RAT guna mempertahankan akses jangka panjang ke sistem target.

Lebih baru lagi, pada November, Fortinet juga memperingatkan adanya celah zero-day FortiWeb yang dieksploitasi secara aktif di dunia nyata. Peringatan ini muncul hanya sepekan setelah perusahaan mengonfirmasi telah menambal celah zero-day FortiWeb lainnya secara diam-diam, yang sebelumnya disalahgunakan dalam serangan berskala luas.

Kasus ini menjadi pengingat penting bagi organisasi di seluruh dunia untuk tidak hanya mengandalkan solusi keamanan, tetapi juga memastikan konfigurasi yang tepat, pembaruan rutin, serta pembatasan akses antarmuka manajemen agar tidak terbuka ke internet. Di tengah meningkatnya serangan siber global, kelalaian sekecil apa pun dapat berujung pada risiko besar bagi keamanan data dan operasional organisasi.