Kabar kurang sedap kembali menghampiri meja kerja kita minggu ini. Fortinet baru saja merilis pembaruan keamanan mendesak untuk menambal dua celah kritis yang cukup meresahkan. Masalahnya nggak main-main, celah ini memungkinkan penyerang mem-bypass autentikasi FortiCloud SSO dan masuk ke sistem tanpa permisi. Bagi kalian yang mengelola infrastruktur jaringan berbasis Fortinet, rasanya ini peringatan keras untuk segera melakukan audit konfigurasi sebelum ada tamu tak diundang yang masuk.
Kalau kita bedah lebih dalam, ancaman ini datang dari dua kerentanan keamanan yang dilacak sebagai CVE-2025-59718 (untuk FortiOS, FortiProxy, dan FortiSwitchManager) serta CVE-2025-59719 (khusus FortiWeb). Inti masalahnya ada pada verifikasi tanda tangan kriptografi yang kurang sempurna. Penyerang bisa mengeksploitasi kelemahan ini dengan mengirimkan pesan SAML yang sudah dimanipulasi sedemikian rupa. Begitunya pesan jahat ini diterima, sistem yang rentan akan mengira itu adalah permintaan akses yang sah, dan boom, mereka bisa lolos autentikasi FortiCloud SSO.
Namun, ada sedikit kabar baik di tengah kekacauan ini. Berdasarkan pengamatan kami dari advisory yang diterbitkan Fortinet, fitur FortiCloud yang rentan ini sepertinya nggak aktif secara default kalau perangkat kalian belum didaftarkan ke FortiCare. Jadi, kalau perangkat masih setelan pabrik murni, harusnya aman. Tapi, realitanya di lapangan kan nggak begitu. Biasanya, begitu admin mendaftarkan perangkat ke FortiCare lewat GUI, fitur “Allow administrative login using FortiCloud SSO” ini otomatis nyala, kecuali kalian secara sadar mematikannya saat proses registrasi. Ini nih yang sering luput.
Untuk kalian yang merasa was-was atau belum sempat melakukan upgrade ke versi firmware yang sudah di-patch, kami sangat menyarankan untuk mematikan fitur login FortiCloud ini sementara waktu. Berikut adalah langkah-langkah mitigasi yang bisa kalian eksekusi langsung di perangkat:
- Metode GUI (Antarmuka Grafis):
Masuk ke dashboard admin kalian, lalu navigasikan ke System -> Settings. Cari opsi yang bertuliskan “Allow administrative login using FortiCloud SSO”. Pastikan tombol di sebelahnya digeser ke posisi Off atau dinonaktifkan. Jangan lupa simpan konfigurasi. - Metode CLI (Command-Line Interface):
Bagi kalian yang lebih nyaman ngetik perintah di terminal karena rasanya lebih cepat, kalian bisa menjalankan perintah berikut ini secara berurutan:- Ketik config system global lalu tekan Enter.
- Ketik set admin-forticloud-sso-login disable lalu tekan Enter.
- Terakhir, ketik end untuk menyimpan dan menerapkan perubahan.
config system global
set admin-forticloud-sso-login disable
endSelain isu SSO ini, Fortinet hari ini juga menambal celah lain yang nggak kalah ngeri, yaitu CVE-2025-59808. Celah ini membiarkan penyerang yang sudah punya akses ke akun user korban untuk mereset kredensial tanpa perlu memasukkan password lama. Bayangkan kalau akun admin diambil alih semudah itu. Ada juga celah lain yang memungkinkan autentikasi menggunakan hash sebagai pengganti password (CVE-2025-64471). Jadi, paket update kali ini memang benar-benar krusial.
Kita semua tahu kalau perangkat Fortinet memang sering banget jadi target operasi cyber-espionage maupun ransomware. Masih ingat kasus Volt Typhoon dari China yang mem-backdoor jaringan Kementerian Pertahanan Belanda? Mereka masuk lewat celah SSL VPN FortiOS yang lama. Pola serangannya selalu mirip: eksploitasi celah yang belum di-patch, tanam malware, lalu panen data. Agustus lalu bahkan sempat ada lonjakan serangan brute-force besar-besaran terhadap Fortinet SSL VPN, sehari sebelum celah injeksi perintah di FortiSIEM dipublikasikan.
Melihat tren serangan yang makin agresif dan spesifik menargetkan perangkat keamanan jaringan, rasanya kita nggak bisa lagi bersantai-santai dengan konfigurasi default. Celah keamanan kayaknya akan selalu muncul, tapi respons kitalah yang menentukan dampaknya. Dari perspektif praktis, mematikan fitur yang tidak esensial seperti login SSO FortiCloud—jika memang tidak mendesak—adalah langkah hardening yang bijak. Segera jadwalkan maintenance window untuk patching, dan pastikan kalian selalu memantau log aktivitas yang mencurigakan, karena serangan seringkali terjadi di celah waktu antara rilis patch dan implementasi di lapangan.
Sumber: bleepingcomputer