Tiga Celah FortiSandbox Disusun Jadi Satu, Penyerang Bisa Kuasai Sistem Keamanan dari Dalam

CLB.my.id - Sebuah firma intelijen ancaman bernama Defused mengonfirmasi adanya eksploitasi aktif terhadap tiga kerentanan dalam platform FortiSandbox milik Fortinet yang dirantai menjadi satu serangan beruntun. Hasilnya, penyerang bisa mendapatkan akses root penuh tanpa perlu autentikasi, sebuah tingkat keparahan yang jauh melampaui skor CVE individu mana pun. Setidaknya tujuh deployment FortiSandbox di sektor jasa keuangan dan infrastruktur kritis di Amerika Utara dan Eropa telah dikompromikan.

Serangan ini bekerja melalui tiga tahap yang dirancang rapi. Tahap pertama memanfaatkan CVE-2026-39813, sebuah kerentanan path traversal sebelum autentikasi di antarmuka manajemen FortiSandbox. Celah ini memungkinkan penyerang yang tidak memiliki kredensial sama sekali untuk membaca file arbitrer dari sistem, termasuk database konfigurasi yang berisi kredensial admin lokal.

Dengan kredensial yang dicuri dari tahap pertama, penyerang kemudian bergerak ke tahap kedua. Mereka menggunakan CVE-2026-25089, kerentanan eksekusi kode jarak jauh dengan skor CVSS 9,8 yang sebelumnya dilaporkan pada 11 Juni 2026. Dalam advisory asli Fortinet, kerentanan ini disebut memerlukan autentikasi. Namun dalam rantai serangan ini, penyerang menggunakan kredensial yang dicuri dari langkah pertama untuk memenuhi persyaratan autentikasi tersebut, sehingga efektif melewati perlindungan yang seharusnya ada.

Tahap ketiga adalah CVE-2026-39808, sebuah celah eskalasi hak akses yang meningkatkan akses penyerang ke level root pada sistem operasi dasar. Setelah mencapai root, penyerang memiliki kontrol penuh dan tidak terbatas atas appliance FortiSandbox, termasuk kemampuan untuk memanipulasi hasil analisis keamanan.

Apa yang membuat serangan ini sangat berbahaya bukan hanya akses root-nya. FortiSandbox adalah komponen inti dari arsitektur keamanan Fortinet yang bertugas menganalisis file dan lalu lintas jaringan yang mencurigakan dalam lingkungan terisolasi. Platform ini mengirimkan hasil verifikasi ke produk Fortinet lainnya seperti firewall, agen endpoint, dan keamanan email. Produk-produk tersebut mempercayai hasil verifikasi dari FortiSandbox secara implisit.

Ketika penyerang menguasai FortiSandbox dari level root, mereka bisa memanipulasi hasil analisis sehingga file berbahaya yang seharusnya diblokir justru dinyatakan aman. Ini menciptakan celah dalam deteksi ancaman yang tidak bisa ditutup oleh alat keamanan lain, karena seluruh lapisan pertahanan downstream bergantung pada keputusan dari FortiSandbox.

Defused mengamati artefak intrusi di setidaknya tujuh deployment FortiSandbox di sektor jasa keuangan dan infrastruktur kritis di Amerika Utara dan Eropa. Dampak operasionalnya sangat serius bagi sektor-sektor ini, di mana kompromi platform analisis ancaman merupakan salah satu skenario terburuk yang bisa terjadi.

Untuk mengatasi kerentanan ini, FortiSandbox versi 5.4.3 telah tersedia dan menambal ketiga celah tersebut. Organisasi yang menjalankan versi sebelumnya disarankan untuk segera melakukan upgrade. Selain itu, tim keamanan disarankan untuk meninjau log audit platform untuk tanda-tanda akses file tidak sah atau perubahan konfigurasi yang mencurigakan.

Yang perlu dicatat, Fortinet belum memperbarui advisory PSIRT-nya dengan data eksploitasi terbaru ini. Meskipun demikian, urgensi operasional tidak bergantung pada timeline advisory Fortinet mengingat eksploitasi aktif telah dikonfirmasi dan penambahan ke katalog Known Exploited Vulnerabilities milik CISA diperkirakan akan segera dilakukan.

Bagi organisasi di Indonesia yang menggunakan FortiSandbox, terutama di sektor perbankan, telekomunikasi, dan infrastruktur kritis, ancaman ini layak dijadikan prioritas utama. Rantai serangan yang menggabungkan tiga celah berbeda menunjukkan tingkat sofistikasi yang terus meningkat dari kelompok ancaman, dan kecepatan dalam menerapkan patch menjadi kunci utama pertahanan.

Insiden ini juga menjadi pengingat bahwa produk keamanan siber sendiri bisa menjadi target serangan. Ketika platform yang dirancang untuk melindungi justru dikompromikan, dampaknya bisa berlipat ganda karena seluruh ekosistem keamanan yang bergantung padanya ikut terpengaruh.