Alarm Siber! Fortinet Ungkap Celah Mematikan di FortiSIEM

Perusahaan keamanan siber global Fortinet mengeluarkan peringatan serius kepada para pelanggannya terkait kerentanan kritis yang ditemukan pada produk FortiSIEM. Celah keamanan ini, yang telah terdaftar dengan kode CVE-2025-25256, memiliki tingkat keparahan skor CVSS 9,8 dari skala maksimal 10,0. Artinya, risiko eksploitasi celah ini berada pada kategori sangat tinggi.

Menurut Fortinet, kerentanan ini dikategorikan sebagai OS Command Injection atau “improper neutralization of special elements used in an OS command” (CWE-78). Celah tersebut memungkinkan penyerang yang tidak terautentikasi untuk menjalankan perintah berbahaya melalui permintaan CLI yang dimanipulasi secara khusus. Kondisi ini dapat membuka peluang bagi pelaku ancaman untuk mengambil kendali sistem, mencuri data, atau melumpuhkan layanan.

Versi FortiSIEM yang Terdampak

Fortinet menyebutkan bahwa beberapa versi FortiSIEM terdampak oleh kerentanan ini. Rekomendasi pembaruan yang diberikan adalah sebagai berikut:

• FortiSIEM 6.1, 6.2, 6.3, 6.4, 6.5, 6.6 → disarankan migrasi ke versi yang telah diperbaiki.
• FortiSIEM 6.7.0 – 6.7.9 → perbarui ke 6.7.10 atau yang lebih baru.
• FortiSIEM 7.0.0 – 7.0.3 → perbarui ke 7.0.4 atau yang lebih baru.
• FortiSIEM 7.1.0 – 7.1.7 → perbarui ke 7.1.8 atau yang lebih baru.
• FortiSIEM 7.2.0 – 7.2.5 → perbarui ke 7.2.6 atau yang lebih baru.
• FortiSIEM 7.3.0 – 7.3.1 → perbarui ke 7.3.2 atau yang lebih baru.
• FortiSIEM 7.4 → tidak terdampak.

Fortinet menegaskan bahwa kode eksploitasi praktis untuk celah ini telah beredar di dunia maya, meskipun perusahaan tidak merinci di mana atau bagaimana eksploitasi tersebut ditemukan. Mereka juga mengungkapkan bahwa kode ini tidak meninggalkan indicators of compromise (IoCs) yang khas, sehingga serangan menjadi lebih sulit dideteksi.

Sebagai langkah pencegahan sementara (workaround), Fortinet merekomendasikan organisasi untuk membatasi akses ke port phMonitor (7900).

Serangan Brute-Force Mengincar Perangkat Fortinet SSL VPN

Peringatan ini datang hanya sehari setelah laporan dari GreyNoise yang menemukan adanya lonjakan besar serangan brute-force terhadap perangkat Fortinet SSL VPN. Serangan ini berlangsung secara terkoordinasi, melibatkan puluhan alamat IP dari Amerika Serikat, Kanada, Rusia, dan Belanda. Targetnya tersebar di berbagai negara termasuk Amerika Serikat, Hong Kong, Brasil, Spanyol, dan Jepang.

Menurut GreyNoise, aktivitas mencurigakan ini mulai diamati pada 3 Agustus 2025, melibatkan lebih dari 780 alamat IP unik. Dalam 24 jam terakhir saja, 56 alamat IP teridentifikasi sebagai berbahaya.

“Yang kami lihat ini bukan aktivitas acak. Lalu lintas yang diamati memang secara sengaja menargetkan profil FortiOS, sehingga ini jelas serangan yang terfokus,” ujar GreyNoise dikutip dari The Hacker News , Selasa (12/08/2025).

Pergeseran Target: Dari VPN SSL ke FortiManager

Menariknya, GreyNoise menemukan adanya dua gelombang serangan berbeda:

1. Gelombang pertama: serangan brute-force jangka panjang dengan tanda tangan TCP yang stabil.
2. Gelombang kedua: lonjakan lalu lintas mendadak dengan tanda tangan TCP yang berbeda.

Setelah 5 Agustus 2025, pola serangan berubah. Jika sebelumnya target utama adalah FortiOS, serangan terbaru lebih banyak mengincar FortiManager. Pergeseran ini menunjukkan bahwa pelaku ancaman kemungkinan menggunakan infrastruktur yang sama, namun mengubah target serangan untuk mengeksploitasi layanan Fortinet lainnya.

Bahkan, analisis data historis mengungkap adanya lonjakan serangan pada Juni 2025 yang diarahkan ke perangkat FortiGate dari jaringan perumahan yang dikelola oleh Pilot Fiber Inc. Hal ini menimbulkan dugaan bahwa serangan brute-force ini mungkin diluncurkan dari jaringan rumah atau melalui proksi perumahan untuk menyamarkan identitas pelaku.

Pola Serangan Mengikuti Rilis CVE Baru

GreyNoise mencatat bahwa lonjakan aktivitas berbahaya terhadap teknologi tertentu sering diikuti oleh pengungkapan CVE baru dalam waktu sekitar enam minggu. Pola ini umum terjadi pada teknologi perimeter jaringan perusahaan seperti VPN, firewall, dan alat akses jarak jauh, yang sering menjadi sasaran pelaku ancaman tingkat lanjut (APT – Advanced Persistent Threat).

"Pola-pola ini hanya ditemukan pada edge teknologi perusahaan seperti VPN, firewall, dan alat akses jarak jauh – jenis sistem yang sama yang semakin menjadi sasaran pelaku ancaman tingkat lanjut," tulis GreyNoise dalam laporan Sinyal Peringatan Dini yang dirilis akhir bulan lalu.

Peringatan Fortinet tentang kerentanan CVE-2025-25256 menjadi pengingat kuat bahwa serangan siber semakin cepat berkembang dari sekadar upaya eksploitasi menjadi kampanye terarah yang memanfaatkan kelemahan perangkat tepi perusahaan.

Dengan skema serangan yang semakin kompleks, organisasi harus proaktif dalam pembaruan sistem, memperkuat keamanan jaringan, dan meningkatkan kesadaran tim IT agar dapat mendeteksi dan merespons ancaman sebelum terjadi kerusakan yang lebih besar.