Perangkat FortiGate Dieksploitasi untuk Curian Kredensial Akun Layanan dan Penetrasi Jaringan

Peneliti keamanan siber mengungkap kampanye terbaru di mana pelaku ancaman memanfaatkan perangkat FortiGate Next-Generation Firewall (NGFW) sebagai pintu masuk untuk membobol jaringan korban. Eksploitasi kerentanan keamanan terbaru dan penggunaan kredensial lemah memungkinkan peretas mencuri file konfigurasi yang menyimpan kredensial akun layanan dan informasi topologi jaringan, menurut laporan yang diterbitkan oleh SentinelOne pada Maret 2026.

Eksploitasi FortiGate dan Dampaknya pada Jaringan Korban

SentinelOne menyoroti bahwa kampanye ini menargetkan lingkungan kritikal seperti sektor kesehatan, pemerintahan, dan penyedia layanan terkelola. Para peneliti keamanan, termasuk Alex Delamotte, Stephen Bromfield, Mary Braden Murphy, dan Amey Patne, menjelaskan bahwa perangkat FortiGate memiliki akses luas ke lingkungan yang dilindunginya.

"Perangkat jaringan FortiGate memiliki akses signifikan ke lingkungan yang mereka lindungi. Dalam banyak konfigurasi, ini termasuk akun layanan yang terhubung langsung dengan infrastruktur otentikasi seperti Active Directory (AD) dan Lightweight Directory Access Protocol (LDAP)."

Konfigurasi ini memungkinkan perangkat memetakan peran pengguna dengan mengambil atribut dari koneksi yang dianalisis dan menghubungkannya dengan informasi direktori. Fitur ini berguna untuk menerapkan kebijakan berbasis peran dan mempercepat respons terhadap ancaman keamanan jaringan.

Kerentanan dan Teknik Eksploitasi yang Digunakan

Namun, akses luas tersebut juga menjadi celah yang dapat dimanfaatkan oleh penyerang jika FortiGate berhasil ditembus melalui kerentanan yang sudah diketahui, seperti CVE-2025-59718, CVE-2025-59719, dan CVE-2026-24858, atau akibat konfigurasi yang salah.

Dalam sebuah insiden pada November 2025, pelaku berhasil membobol perangkat FortiGate dan membuat akun administrator lokal baru bernama "support". Akun ini kemudian digunakan untuk membuat empat kebijakan firewall baru yang mengizinkan akses tanpa batas ke seluruh zona jaringan.

Pelaku terus memeriksa akses ke perangkat secara berkala, sebuah pola yang mencerminkan aktivitas initial access broker (IAB) yang menguasai akses awal untuk kemudian menjualnya kepada pelaku kriminal lain demi keuntungan finansial.

Fase berikutnya terjadi Februari 2026, saat peretas diduga mengekstrak file konfigurasi yang berisi kredensial LDAP akun layanan yang terenkripsi. SentinelOne menegaskan:

"Bukti menunjukkan pelaku berhasil mengautentikasi ke AD menggunakan kredensial teks jelas dari akun layanan fortidcagent, menunjukkan bahwa file konfigurasi berhasil didekripsi dan kredensial akun layanan diekstrak."

Eksploitasi Lebih Lanjut dan Penanggulangan

Setelah mendapatkan kredensial, pelaku menggunakan akun layanan tersebut untuk masuk ke lingkungan korban dan mendaftarkan workstation jahat ke Active Directory, memperluas akses mereka secara signifikan. Pada tahap ini, pemindaian jaringan mulai dilakukan dan deteksi pelanggaran akhirnya terjadi, menghentikan pergerakan lateral lebih lanjut.

Kasus lain yang terungkap pada Januari 2026 menunjukkan pelaku dengan cepat beralih dari akses firewall ke pemasangan alat akses jarak jauh seperti Pulseway dan MeshAgent. Mereka juga mengunduh malware dari penyimpanan cloud Amazon Web Services (AWS) menggunakan PowerShell.

Malware Java yang diluncurkan melalui teknik DLL side-loading dipakai untuk mengekstraksi isi file NTDS.dit dan hive registri SYSTEM, yang kemudian dikirim ke server eksternal pada alamat IP "172.67.196[.]232" lewat port 443.

SentinelOne menambahkan, "Meskipun pelaku mungkin mencoba memecahkan sandi dari data yang didapat, tidak ditemukan penggunaan kredensial lebih lanjut antara penyerangan dan penanganan insiden."

FortiGate Sebagai Target Bernilai Tinggi

Perangkat NGFW seperti FortiGate sangat populer karena kemampuan pemantauan jaringan yang kuat dan integrasi fitur manajemen seperti Active Directory. Namun, sifatnya yang memiliki akses luas ke infrastruktur kritikal menjadikannya target utama bagi pelaku dengan berbagai motivasi, mulai dari spionase negara hingga serangan finansial seperti ransomware.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini menandakan peningkatan risiko yang signifikan dalam keamanan siber organisasi yang mengandalkan perangkat FortiGate. Kerentanan yang dieksploitasi tidak hanya menunjukkan kelemahan teknis, tetapi juga kesalahan konfigurasi yang sering diabaikan. Padahal, akun layanan yang terhubung dengan Active Directory adalah pintu masuk krusial yang jika bocor dapat membuka seluruh jaringan internal.

Selain itu, modus operandi pelaku yang berperan sebagai initial access broker menandakan ekosistem kejahatan siber yang semakin terorganisir dan tersegmentasi, di mana akses awal dijual ke pihak lain yang kemudian melancarkan serangan lebih lanjut seperti penyebaran malware dan pencurian data.

Organisasi harus memperkuat pengamanan perangkat NGFW dengan menerapkan patch segera setelah tersedia, melakukan audit konfigurasi secara rutin, dan memonitor aktivitas akses akun layanan secara ketat. Di era di mana perimeter jaringan semakin kabur, perlindungan berlapis dan deteksi dini menjadi kunci mencegah kerugian besar akibat serangan siber.

Kesimpulan dan Langkah Selanjutnya

Serangan yang mengincar perangkat FortiGate menegaskan pentingnya kewaspadaan dan respons cepat terhadap kerentanan perangkat jaringan kritikal. Dengan eksploitasi ini, pelaku dapat mencuri kredensial penting dan mengakses jaringan internal hingga memasang malware berbahaya. Ke depan, organisasi harus mengadopsi pendekatan keamanan yang lebih proaktif dan holistik, termasuk pelatihan keamanan bagi administrator dan pemantauan berkelanjutan.

Terus ikuti perkembangan berita keamanan siber terbaru untuk memahami risiko yang berkembang dan solusi terbaik yang bisa diterapkan demi melindungi aset digital Anda.