Ancaman Persisten di FortiGate: Akses Baca-Tulis Bertahan Meski Kerentanan Telah Ditambal
Ancaman Persisten di FortiGate: Akses Baca-Tulis Bertahan Meski Kerentanan Telah Ditambal
Berita Keamanan Siber
Fortinet mengungkapkan bahwa para pelaku ancaman (threat actors) berhasil mempertahankan akses read-only ke perangkat FortiGate yang rentan, bahkan setelah kerentanan awal yang mereka eksploitasi telah diperbaiki.

Eksploitasi yang Memanfaatkan Celah Lama

Menurut pernyataan resmi Fortinet, para penyerang memanfaatkan sejumlah celah keamanan yang sudah diketahui dan ditambal, termasuk:

  • CVE-2022-42475
  • CVE-2023-27997
  • CVE-2024-21762
Dengan memanfaatkan kerentanan tersebut, mereka menciptakan symlink (symbolic link) yang menghubungkan user file system dan root file system di direktori yang digunakan untuk menyajikan file bahasa pada antarmuka SSL-VPN.

Akses Bertahan Setelah Tambalan

Yang mengejutkan, symbolic link tersebut tetap bertahan meskipun kerentanan awal telah ditutup. Ini memungkinkan pelaku untuk tetap memiliki akses baca terhadap file-file penting di sistem, termasuk konfigurasi perangkat. Namun, pelanggan yang tidak pernah mengaktifkan fitur SSL-VPN tidak terdampak oleh serangan ini.

Tidak Spesifik ke Wilayah atau Industri

Fortinet menyatakan bahwa aktivitas ini tidak menargetkan wilayah atau industri tertentu, dan mereka telah menghubungi pelanggan yang terdampak secara langsung.

Langkah Perbaikan oleh Fortinet

Fortinet telah merilis pembaruan FortiOS untuk mencegah eksploitasi lebih lanjut:

  1. FortiOS 7.4, 7.2, 7.0, dan 6.4
     
    • Symbolic link ditandai sebagai berbahaya agar dapat dihapus otomatis oleh antivirus engine.
  2.  
  3. FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, dan 6.4.16
     
    • Symbolic link dihapus sepenuhnya dan UI SSL-VPN diperbarui agar tidak bisa melayani symbolic link berbahaya.
  4.  
Pelanggan disarankan untuk:

  • Segera memperbarui FortiOS ke versi yang direkomendasikan,
  • Meninjau konfigurasi perangkat,
  • Menganggap semua konfigurasi mungkin telah disusupi dan mengambil langkah pemulihan yang tepat.
Peringatan dari Lembaga Keamanan Siber Global

  • CISA (AS) menyarankan pengguna untuk me-reset kredensial yang terekspos dan mempertimbangkan menonaktifkan SSL-VPN sampai patch diterapkan.
  • CERT-FR (Prancis) melaporkan kompromi yang kemungkinan sudah terjadi sejak awal tahun 2023.
Komentar dari Ahli Keamanan

CEO watchTowr, Benjamin Harris, menyebut insiden ini sebagai sinyal berbahaya. Dua hal utama yang menjadi perhatian:

  1. Eksploitasi di dunia nyata kini terjadi lebih cepat dari waktu patching oleh organisasi.
  2. Penyerang telah menyematkan backdoor yang mampu bertahan bahkan setelah patch, upgrade, hingga factory reset.
Harris juga mengonfirmasi bahwa backdoor serupa telah terdeteksi di berbagai organisasi penting yang tergolong sebagai infrastruktur kritikal.

Dipublish Oleh: Admin
Tanggal Publish : April 14, 2025
Kembali
Baca Artikel Lainnya
article-image Hacker Memanfaatkan Alat HTTP Klien untuk Serangan ATO di Microsoft 365
article-image Malware Medusa Bergabung dengan Flubot's Android Distribution Network
article-image Peneliti Keamanan Siber Temukan Model ML Berbahaya di Hugging Face
article-image Kerentanan RCE pada PHP Everywhere Mengancam Ribuan Situs WordPress
article-image Apple Memperbaiki Zero-day yang Dieksploitasi untuk Meretas iPhone, iPad, Mac