CVE-2020-12812 adalah sebuah kerentanan keamanan kritis yang menyerang sistem operasi FortiOS pada perangkat firewall FortiGate milik Fortinet. Masalah ini sebenarnya adalah celah autentikasi yang memungkinkan orang asing masuk ke jaringan VPN tanpa perlu melewati verifikasi autentikasi dua faktor atau 2FA, padahal fitur keamanan tersebut sudah diaktifkan oleh kalian.
Celah ini secara teknis terjadi pada fitur SSL VPN di FortiGate. Penyebab utamanya adalah masalah ketidakkonsistenan dalam menangani huruf besar dan kecil atau yang biasa kita sebut sebagai case-sensitivity pada nama pengguna. Kerentanan ini bakal muncul kalau kalian mengatur autentikasi pengguna secara lokal di perangkat FortiGate, tapi metode autentikasinya dihubungkan ke server remote seperti LDAP (Lightweight Directory Access Protocol). Rasanya agak aneh memang, cuma karena perbedaan huruf kapital saja, sistem keamanan yang harusnya ketat bisa jadi bolong begitu saja.
Sepertinya masalah ini jadi makin serius karena penyerang nggak perlu melakukan teknik yang sebegitu rumitnya. Mereka cuma perlu mengganti huruf di username saat mencoba login. Misalnya, kalau di sistem terdaftar nama pengguna “budi_it”, penyerang cukup mengetik “Budi_IT” atau variasi lainnya. Karena adanya perbedaan logika pencocokan antara database lokal FortiGate dan server LDAP, sistem bakal merasa autentikasi sudah berhasil tanpa meminta kode dari FortiToken lagi. Begitunya cara kerja celah ini sehingga penyerang bisa masuk ke jaringan internal perusahaan dengan sangat mudah.
Kira-kiranya, Fortinet sudah merilis perbaikan untuk masalah ini sejak lama, tapi ternyata sampai sekarang masih banyak banget organisasi yang belum melakukan patching. Hal ini diperparah dengan adanya kesalahan konfigurasi pada grup LDAP sekunder. Kalau grup ini nggak diatur dengan benar atau sebenarnya nggak perlu-perlu amat tapi malah dipasang, risiko kena serangan ini jadi makin besar. Bahkan lembaga keamanan kayak FBI dan CISA sudah berkali-kali kasih peringatan kalau kelompok hacker yang didukung negara sering banget pakai celah CVE-2020-12812 ini buat menyebarkan ransomware.
Buat kalian yang mengelola infrastruktur jaringan pakai FortiGate, ada baiknya melakukan langkah-langkah pencegahan teknis berikut ini supaya nggak jadi korban:
- Update FortiOS ke Versi Terbaru
Segera lakukan pembaruan sistem operasi kalian. Fortinet sudah merilis perbaikan ini di versi FortiOS 6.4.1, 6.2.4, dan 6.0.10. Kayaknya nggak ada alasan lagi buat nunda update kalau versinya sudah tersedia. - Matikan Fitur Username Case-Sensitivity
Kalau sepertinya kalian belum bisa melakukan update dalam waktu dekat karena alasan teknis tertentu, kalian bisa mematikan pengaturan sensitivitas huruf pada nama pengguna. Ini bakal mencegah penyerang memanfaatkan perbedaan huruf kapital buat bypass 2FA. - Audit dan Hapus Grup LDAP yang Nggak Perlu
Cek lagi konfigurasi grup LDAP di perangkat FortiGate kalian. Kalau ada grup LDAP sekunder yang nggak dipakai atau sifatnya opsional, sebaiknya dihapus saja. Ini penting banget supaya nggak ada celah masuk kalau autentikasi utama gagal. - Monitor Log Autentikasi secara Rutin
Kalian harus rajin-rajin cek log akses SSL VPN. Perhatikan kalau ada percobaan login yang mencurigakan dengan variasi nama pengguna yang mirip-mirip, karena itu bisa jadi indikasi kalau ada yang lagi coba-coba nge-probe celah ini.
Mengabaikan update keamanan yang sudah lama dirilis itu rasanya kayak ninggalin pintu belakang rumah terbuka lebar padahal kalian sudah gembok pintu depannya dengan rapat. Meskipun CVE-2020-12812 ini sudah ada sejak tahun 2020, tapi kenyataannya ancaman siber itu nggak pernah memandang umur celah keamanan. Selama masih ada sistem yang nggak diurus dengan benar, ya bakal terus dihajar sama penjahat siber. Segitunya niat para hacker buat nyari celah sekecil apa pun. Kuranglebihnya, disiplin dalam melakukan patching dan audit konfigurasi adalah kunci paling dasar supaya data organisasi kalian tetap aman. Terimakasih sudah membaca penjelasan ini sampai selesai, rekan-rekanita, mari kita tutup celah keamanan ini sebelum terlambat.