FortiBleed Bocorkan Kredensial 73.932 Firewall Fortinet, Penyerang Sudah Beraksi

CLB.my.id - Sebuah dataset baru bernama “FortiBleed” telah membocorkan nama pengguna dan kata sandi yang telah diverifikasi untuk 73.932 firewall Fortinet FortiGate yang terhubung ke internet di 194 negara. Jumlah ini mewakili sekitar separuh dari seluruh perangkat Fortinet yang terpapar di dunia. Para peneliti keamanan memastikan bahwa banyak kredensial yang masih aktif, yang berarti penyerang kemungkinan sudah berada di dalam jaringan organisasi yang terdampak.

Penemuan dan Skala Kebocoran

Dataset ini ditemukan oleh peneliti keamanan Volodymyr “Bob” Diachenko di sebuah server yang dioperasikan penyerang yang secara tidak sengaja dibiarkan terbuka untuk publik. Data tersebut mencakup 21.632 domain unik dan menjangkau hampir semua sektor ekonomi.

Peneliti independen Kevin Beaumont serta firma keamanan Hudson Rock dan SOCRadar telah memvalidasi data tersebut. SOCRadar mengonfirmasi bahwa lebih dari 30.791 entri merupakan kredensial yang berfungsi dan telah “diuji serta dikonfirmasi oleh penyerang itu sendiri.”

Beberapa organisasi besar yang terdampak antara lain Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Lenovo, PwC, Accenture, dan Oracle. Dari sisi sektor, telekomunikasi menyumbang lebih dari 5.600 entri, pemerintah mencakup 591 entri di 111 domain, dan lebih dari 20 persen catatan berasal dari perusahaan dengan pendapatan di atas 1 miliar dolar AS.

Rantai Serangan yang Terindustrialisasi

Kampanye ini bukan sekadar pelanggaran data biasa, melainkan sebuah pipeline otomatis multi-tahap. Para penyerang menggabungkan kumpulan kredensial dari kebocoran Fortinet sebelumnya pada 2021 (500 ribu akun) dan 2025 (15 ribu perangkat), ditambah kata sandi yang dikumpulkan oleh malware infostealer.

Mereka kemudian menjalankan sekitar 1,16 miliar upaya kredensial terhadap 320.777 target FortiGate. Untuk upaya yang gagal, mereka mencegat hash autentikasi SSL VPN dan memecahkannya secara offline menggunakan kluster Hashtopolis berkapasitas 45 GPU.

Mengapa Kata Sandi yang Rumit Bisa Jebol

Fortinet sebenarnya telah memperkenalkan hashing PBKDF2 yang lebih kuat di versi FortiOS terbaru (7.2.11, 7.4.8, 7.6.1). Namun, kata sandi tetap disimpan dalam format hash lama SHA-256-with-salt sampai administrator secara aktif melakukan login setelah pembaruan firmware. Pada perangkat yang belum diperbarui atau salah konfigurasi, bahkan kata sandi yang panjang dan rumit pun bisa dipecahkan dalam hitungan miliaran per detik oleh kluster 45 GPU.

Setelah perangkat berhasil disusupi, penyerang menanam penyadap jaringan pada firewall FortiGate yang dikompromikan. Penyadap ini memantau semua lalu lintas jaringan dan menangkap percobaan autentikasi dari Active Directory, LDAP, RADIUS, dan akun layanan. Mekanisme ini menciptakan lingkaran setan di mana setiap kompromi menghasilkan lebih banyak kredensial untuk pelanggaran berikutnya.

Insiden Serius: Kontraktor Pertahanan NATO

Salah satu insiden paling serius yang terdokumentasi adalah pembobolan penuh terhadap kontraktor pertahanan NATO di Turki, di mana dokumen-dokumen rahasia dilaporkan berhasil dicuri. Organisasi di Jepang, Taiwan, Vietnam, dan Irak juga dikonfirmasi mengalami kompromi jaringan penuh.

Respons Fortinet dan Langkah Mitigasi

Juru bicara Fortinet, Tiffany Curci, menyatakan bahwa data tersebut merupakan “pembagian ulang data dari insiden sebelumnya, serta brute-forcing” dan tidak terkait dengan kerentanan baru. Namun, para peneliti memperdebatkan hal ini karena alamat IP yang terdampak sebagian besar merupakan koleksi baru, bukan data lama.

Organisasi yang menggunakan FortiGate disarankan untuk segera memeriksa apakah domain mereka terpapar melalui alat pencarian gratis di breached.company, memutar ulang semua kredensial VPN dan administrator FortiGate, meningkatkan FortiOS ke versi yang mendukung PBKDF2 dan memaksa login ulang administrator untuk meng-hash ulang kata sandi, serta mengaudit Active Directory untuk tanda-tanda pergerakan lateral dan eskalasi hak akses.