Kerentanan FortiCloud SSO adalah sebuah celah keamanan kritis pada perangkat Fortinet yang memungkinkan peretas melewati proses autentikasi resmi secara ilegal. Masalah ini, yang secara teknis diidentifikasi lewat kode CVE-2025-59718 dan CVE-2025-59719, berpotensi memberikan akses administratif penuh kepada pihak luar tanpa memerlukan kata sandi valid sedikit pun pada sistem yang terdampak.
Secara lebih teknisnya, masalah ini menyerang fitur Single Sign-On (SSO) yang terhubung dengan layanan FortiCloud. Menurut laporan terbaru, ada sekitar 25.000 hingga 30.000 perangkat Fortinet di seluruh dunia yang terdeteksi masih terbuka aksesnya di internet dengan fitur FortiCloud SSO yang aktif. Kerentanan ini nggak main-main karena menyerang berbagai produk populer kayak FortiOS, FortiProxy, FortiSwitchManager, hingga FortiWeb. Para aktor ancaman atau peretas ini biasanya menggunakan sebuah teknik manipulasi pesan SAML (Security Assertion Markup Language) yang sudah dimodifikasi sedemikian rupa untuk menipu sistem. Begitu mereka berhasil masuk, mereka bakal dapet akses level admin ke antarmuka manajemen web.
Efeknya sepertinya bakal sangat fatal kalau nggak segera ditangani. Begitu peretas masuk ke sistem, mereka bisa dengan mudahnya mengunduh file konfigurasi sistem yang sangat sensitif. Di dalam file itu, biasanya tersimpan informasi kayak tata letak jaringan, kebijakan firewall, hingga hashed password yang kuranglebihnya bisa dipecahkan kalau peretasnya punya niat sebegitu kuatnya. Shadowserver bahkan mencatat ribuan IP address di Amerika Serikat dan India sudah terpapar risiko ini, dan kayaknya angka ini masih bisa berkembang kalau para admin nggak segera bertindak.
Pemerintah melalui CISA pun sudah memasukkan celah ini ke dalam katalog kerentanan yang aktif dieksploitasi. Ini artinya, serangan di lapangan nyata-nyata sudah terjadi dan bukan sekadar teori lagi. Mengingat riwayat Fortinet yang sering jadi sasaran kelompok spionase siber kayak Volt Typhoon, rasanya keamanan perangkat ini harus jadi prioritas utama kalian sekarang juga.
Kalau kalian mengelola perangkat Fortinet, kira-kira ini langkah yang harus segera dilakukan supaya nggak jadi sasaran empuk:
- Cek Status Registrasi FortiCare
Perlu kalian ketahui kalau fitur login FortiCloud SSO ini sebenernya nggak bakal aktif kecuali admin sudah mendaftarkan perangkatnya ke layanan dukungan FortiCare. Jadi, pastikan dulu apakah fitur ini memang aktif di perangkat kalian atau nggak. - Segera Lakukan Update Patch
Fortinet sebenarnya sudah merilis patch keamanan sejak tanggal 9 Desember lalu. Update-lah sistem FortiOS, FortiProxy, atau FortiWeb kalian ke versi terbaru yang sudah memperbaiki celah CVE-2025-59718 dan CVE-2025-59719 ini tanpa menunda-nunda lagi. - Batasi Akses Antarmuka Manajemen
Banyaknya perangkat yang terpapar kayaknya disebabkan karena interface manajemen web-nya dibiarkan terbuka ke internet publik. Usahakan untuk membatasi akses admin GUI ini hanya dari jaringan internal atau menggunakan VPN yang aman saja supaya nggak gampang dipindai oleh pihak luar. - Audit File Konfigurasi dan Log
Karena peretas biasanya mengincar file konfigurasi, coba cek log aktivitas kalian untuk melihat apakah ada aktivitas pengunduhan file sistem atau login yang mencurigakan dari lokasi yang nggak dikenal sebelumnya.
Melihat betapa cepatnya peretas memanfaatkan celah autentikasi ini, rasanya kita semua harus lebih sigap lagi dalam urusan pemeliharaan sistem keamanan. Kerentanan kayak gini sepertinya akan selalu menjadi incaran karena dampaknya yang sebegitu luas bagi infrastruktur perusahaan. Jangan sampai kelalaian kecil dalam melakukan update malah berujung pada kebocoran data yang masif dan merugikan banyak pihak nantinya. Pastikan kalian selalu memantau informasi terbaru dari vendor keamanan agar langkah mitigasi bisa diambil secepat mungkin. Terimakasih sudah membaca sampai selesai, rekan-rekanita. Mari kita tingkatkan kewaspadaan dan pastikan sistem tetap aman dari segala bentuk ancaman siber.