Threat Hunter mulai memberikan perhatian pada kampanye serangan siber terhadap perangkat firewall Fortinet FortiGate yang memiliki manajemen antarmuka yang terekspos di internet public. 

Arctic Wolf, perusahaan cybersecurity mengatakan bahwa kampanye serangan ini mencakup login admin secara tidak sah menggunakan interface yang terekspos di internet, pembuatan akun baru, penggunaan SSL VPN untuk autentikasi terhadap akun tersebut, dan beberapa perubahan konfigurasi lainnya. 

Serangan ini diperkirakan dimulai sejak pertengahan November 2024, dimana terdapat pelaku ancaman yang tidak diketahui mendapatkan akses tidak sah ke manajemen antarmuka firewall yang diretas untuk mengubah konfigurasi dan menyalin kredensial menggunakan DCSync. 

Metode atau jalur spesifik yang digunakan oleh penyerang untuk mendapatkan akses pertama kali ke sistem masih belum diketahui atau sedang diselidiki. Namun, besar kemungkinan bahwa serangan ini dilakukan dengan mengeksploitasi zero-day vulnerability. Hal ini didasarkan pada fakta bahwa banyak organisasi yang terpengaruh dalam waktu yang sangat singkat, serta dampak serangan yang meluas ke berbagai versi firmware perangkat. 

Versi firmware dari perangkat yang terdampak berkisar antara 7.0.14 dan 7.0.16, dimana versi tersebut dirilis masing-masing pada Februari dan Oktober 2024. 

Untuk mengatasi resiko-resiko, sangat penting bagi organisasi untuk tidak mengekspos manajemen antarmuka dari firewall ke internet serta membatasi akses firewall hanya kepada orang-orang terpercaya. 

Sumber: 

Fortinet Warns of New Zero-Day Used in Attacks on Firewalls with Exposed Interfaces