FortiBleed: Bagaimana 74.000 Firewall Fortinet Menjadi Pintu Terbuka bagi Peretas
TL;DR
FortiBleed: Bagaimana 74.000 Firewall Fortinet Menjadi Pintu Terbuka bagi Peretas
Dunia keamanan siber sedang terguncang akibat "FortiBleed," sebuah kampanye pengumpulan kredensial masif yang secara efektif memberikan kunci akses kepada penjahat siber. Ini bukan sekadar gangguan kecil; kita berbicara tentang 73.932 sistem firewall Fortinet FortiGate di 194 negara yang kredensial administratif dan VPN-nya telah terekspos. Mulai dari lembaga pemerintah hingga perusahaan multinasional besar, dampaknya sangat mengejutkan. Data konfigurasi sensitif dan token autentikasi saat ini diperjualbelikan layaknya kartu koleksi di forum kriminal.
Apa kekuatan di balik operasi ini? Sebuah kelompok ancaman berbahasa Rusia yang tidak hanya menemukan kredensial ini secara kebetulan—mereka membangun rig peretasan offline berkekuatan tinggi dengan 45 GPU khusus untuk memecahkan hash autentikasi SSL VPN yang disadap. Peneliti keamanan di Bitsight telah mengonfirmasi bahwa ini bukan sekadar teori. Peretas oportunistik dan aktor canggih yang didukung negara sudah menggunakan data ini untuk menembus lingkungan Active Directory internal.
"Dosa Asal" Teknis
Inti dari kekacauan FortiBleed adalah cara versi lama FortiOS menangani hashing kata sandi. Ternyata, bahkan setelah pembaruan firmware diterapkan, kata sandi administrator sering kali tertinggal di sistem sebagai hash SHA-256 yang lemah. Hash ini tidak secara otomatis ditingkatkan ke standar PBKDF2 yang jauh lebih kuat sampai pengguna melakukan login secara fisik. Celah kecil itu—jendela "menunggu login"—memberikan waktu yang cukup bagi penyerang untuk mengambil hash tersebut dan memecahkannya sesuka hati.
Skalanya sungguh mengerikan. Para aktor ini meluncurkan lebih dari 1,16 miliar upaya kredensial terhadap target FortiGate, dengan 2,1 miliar lainnya ditujukan ke sistem MSSQL. Dengan klaster 45-GPU yang beroperasi di latar belakang, mereka berhasil memvalidasi kredensial untuk 73.932 URL firewall unik di lebih dari 21.600 domain berbeda. Datanya nyata dan berbahaya. Peneliti seperti Hudson Rock telah melacak penyebarannya, dan konsensusnya jelas: paparan ini meluas dan sistemik.
Siapa yang Menjadi Target?
Sekitar setengah dari semua unit FortiGate yang dapat diakses internet secara global terjebak dalam masalah ini. Daftar korbannya mencakup perusahaan Fortune 500—Samsung, Siemens, dan Oracle semuanya termasuk di dalamnya, bersama dengan berbagai badan pemerintah. Dalam satu insiden yang mengerikan, penyerang menggunakan kredensial curian ini untuk menyusup ke jaringan kontraktor pertahanan NATO dan membawa kabur dokumen rahasia yang sensitif.
Begitu mereka masuk, mereka tidak hanya diam. Mereka menyebarkan perangkat standar yang dirancang untuk mempertahankan persistensi dan memetakan jaringan internal. Jika Anda seorang sysadmin, berikut adalah nama-nama yang perlu Anda waspadai:
- Chisel: Terowongan TCP/UDP cepat melalui HTTP yang membuat bypass pembatasan firewall terlihat sangat mudah.
- Neo-reGeorg: Web shell berbahaya yang digunakan untuk pivoting dan pengintaian mendalam.
- EternalBlue: Pilihan klasik untuk bergerak secara lateral dan meningkatkan hak akses setelah mereka menemukan pijakan.
| Metrik | Detail |
|---|---|
| Perangkat Terdampak | 73.932 URL FortiGate unik |
| Jangkauan Global | 194 negara |
| Kerentanan Utama | Hashing kata sandi SHA-256 yang lemah |
| Infrastruktur Serangan | Klaster 45-GPU |
| Aktivitas Teramati | Eksfiltrasi aktif data AD internal |
Membersihkan Kekacauan
Jika Anda menjalankan FortiGate, Anda harus segera memverifikasi status firmware Anda. Kerentanan ini menyerang perangkat yang menjalankan FortiOS versi sebelum 7.2.11, 7.4.8, dan 7.6.1. Jangan hanya percaya pada kata-kata kami; periksa umpan intelijen ancaman siber untuk melihat apakah infrastruktur Anda sudah menjadi bagian dari kumpulan data bocor yang beredar secara online.
Perbaikannya mudah namun membutuhkan usaha: perbarui firmware Anda ke versi terbaru yang telah ditambal. Versi ini memaksa peralihan ke hashing kata sandi yang lebih kuat. Selain itu, Anda perlu mengaudit akun admin dan log VPN Anda untuk mencari aktivitas yang mencurigakan. Seperti yang ditunjukkan oleh Recorded Future, para aktor ini tidak akan berhenti. Anda perlu merotasi setiap kredensial yang Anda miliki dan menerapkan autentikasi multi-faktor (MFA) pada setiap antarmuka manajemen yang terpapar ke internet publik.
Penemuan server yang menampung daftar kredensial masif ini dikreditkan kepada peneliti Volodymyr "Bob" Diachenko. Karyanya menggarisbawahi kenyataan brutal: mengandalkan metode hashing lama pada perangkat kelas perusahaan adalah resep bencana. Jika perangkat FortiGate Anda yang menghadap ke internet belum diperbarui baru-baru ini, Anda harus berasumsi bahwa perangkat tersebut sudah disusupi.
Kampanye ini bersifat dinamis. Kelompok-kelompok ini mengubah taktik saat mereka merasa terdesak. Pertahanan terbaik Anda adalah siklus penambalan yang tak henti-hentinya dan pengawasan ketat terhadap lalu lintas jaringan Anda. Waspadai Chisel atau Neo-reGeorg, pantau lalu lintas keluar Anda untuk mencari anomali, dan perhatikan tanda-tanda pergerakan lateral. Setelah kebocoran sebesar ini, keamanan yang "cukup baik" tidak akan memadai.
