
CISA memperingatkan pelanggan Fortinet untuk segera mengamankan perangkat FortiGate. Peringatan ini muncul setelah kampanye FortiBleed menargetkan banyak perangkat yang terbuka ke internet.
Serangan ini berdampak besar. Ribuan perangkat FortiGate dilaporkan telah terkompromi. Karena itu, tim IT perlu segera memeriksa firewall dan VPN yang digunakan.
FortiBleed menjadi perhatian karena menyerang perangkat perimeter. Perangkat seperti ini sering menjadi pintu masuk awal ke jaringan perusahaan.
Apa Itu FortiBleed?
FortiBleed adalah kampanye serangan yang menargetkan firewall dan VPN Fortinet. Serangan ini memanfaatkan kredensial yang lemah, bocor, atau digunakan ulang.
Penyerang memindai internet untuk mencari endpoint login Fortinet. Setelah itu, mereka mencoba kombinasi username dan password yang sudah diketahui.
Jika login berhasil, penyerang bisa memantau traffic. Dari sana, mereka dapat mencuri kredensial lain dan memperluas serangan.
Mengapa Serangan Ini Berbahaya?
Serangan ini berbahaya karena memakai kredensial yang valid. Jadi, aktivitas penyerang bisa terlihat seperti login biasa.
Selain itu, banyak organisasi masih memakai akun default. Ada juga organisasi yang belum mengganti password lama.
Masalah lain adalah penggunaan password yang sama di banyak sistem. Akibatnya, satu kredensial yang bocor bisa membuka akses ke beberapa perangkat.
Sektor yang Banyak Terdampak
Beberapa sektor menjadi target utama. Sektor telekomunikasi, pemerintahan, dan pendidikan termasuk yang paling terdampak.
Serangan ini juga tersebar di banyak negara. Beberapa wilayah dengan eksposur besar adalah India, Amerika Serikat, Meksiko, Kolombia, dan Thailand.
Namun, risiko tidak terbatas pada negara tersebut. Semua organisasi yang memakai FortiGate internet-facing tetap perlu waspada.
Peran Kredensial Lama dan Password Lemah
FortiBleed menunjukkan bahwa password hygiene masih menjadi masalah besar. Banyak serangan tidak membutuhkan eksploitasi rumit.
Sebaliknya, penyerang cukup mencoba password yang sudah bocor. Mereka juga bisa memakai dictionary attack atau credential stuffing.
Selain itu, mekanisme penyimpanan password lama ikut menjadi perhatian. Beberapa organisasi mungkin masih menyimpan hash admin dengan metode lama setelah upgrade.
Rekomendasi dari CISA
CISA menyarankan beberapa langkah penting. Pertama, hentikan semua sesi SSL VPN dan sesi admin yang aktif.
Selanjutnya, reset semua password VPN dan admin Fortinet. Langkah ini sangat penting untuk perangkat yang terbuka ke internet.
CISA juga menyarankan penggunaan password yang kuat. Selain itu, organisasi perlu memakai MFA yang tahan phishing untuk gateway eksternal dan interface admin.
Langkah Tambahan dari Fortinet
Fortinet juga menyarankan organisasi untuk segera melakukan review. Semua sesi admin dan VPN perlu dihentikan.
Setelah itu, reset kredensial dan aktifkan MFA. Perangkat juga sebaiknya di-upgrade ke versi FortiOS terbaru.
Selain itu, batasi akses manajemen dari internet. Pilihan yang lebih aman adalah memakai trusted hosts, local-in policy, atau menghapus akses admin publik sepenuhnya.
Apa yang Harus Dicek Tim IT?
Tim IT perlu memeriksa log firewall, VPN, autentikasi, dan domain controller. Cari tanda login mencurigakan atau perubahan konfigurasi yang tidak sah.
Selain itu, cek akun admin yang tidak dikenal. Perhatikan juga akses dari IP asing atau aktivitas lateral movement.
Jika organisasi memakai integrasi AD atau LDAP, anggap akun tersebut berisiko. Pantau penggunaan akun itu di sistem lain.
Kesimpulan
FortiBleed menjadi pengingat penting bagi pengguna Fortinet. Firewall dan VPN adalah aset kritis yang harus dijaga dengan ketat.
Karena itu, organisasi perlu segera mereset kredensial, mengaktifkan MFA, dan membatasi akses manajemen. Selain itu, lakukan audit log untuk mencari tanda penyusupan.
Pada akhirnya, serangan ini menunjukkan satu hal sederhana. Kredensial yang lemah bisa menjadi jalan masuk besar bagi penyerang.
Source: https://thehackernews.com/2026/06/cisa-warns-fortinet-customers-as.html
