Dua firma keamanan siber, Hudson Rock dan SOCRadar, melaporkan kampanye peretasan besar-besaran yang mereka juluki FortiBleed ini masih berlangsung aktif. Perangkat yang menjadi sasaran adalah firewall dan VPN gateway Fortinet yang terpapar di internet. Alih-alih mengeksploitasi kerentanan zero-day, para peretas menggunakan alat otomatis untuk memindai perangkat yang terekspos, lalu mencoba masuk menggunakan daftar kata sandi yang sudah bocor di pasar gelap.
Password Lama Jadi Celah, Bukan Bug Baru
Menurut laporan SOCRadar, setelah satu perangkat berhasil ditembus, peretas menggunakannya sebagai pos pengintaian. Mereka memonitor lalu lintas data yang melewati firewall tersebut untuk menangkap kredensial baru yang diketik oleh administrator atau karyawan perusahaan korban.
"Kata sandi yang baru dikumpulkan itu kemudian dimasukkan kembali ke pemindai untuk membobol lebih banyak perangkat. Sistem ini menyuburkan dirinya sendiri," tulis SOCRadar dalam laporannya pekan ini. Siklus ini membuat jumlah perangkat yang terkompromi terus bertambah secara eksponensial.
73.000 Perangkat Dibobol, Data Perusahaan Global Terkuras
Hudson Rock menemukan bukti bahwa lebih dari 73.000 URL unik Fortinet telah diretas. SOCRadar, dengan metodologi berbeda, menyebutkan angka sedikit lebih rendah, yakni lebih dari 30.000 perangkat. Keduanya sepakat bahwa korban tersebar di berbagai negara, dengan India, Amerika Serikat, Taiwan, dan Meksiko menjadi yang paling terdampak.
Daftar perusahaan yang disebutkan dalam laporan mencakup nama-nama besar seperti Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, dan PwC. Hingga berita ini ditulis, sebagian besar perusahaan tersebut belum memberikan tanggapan resmi atas permintaan konfirmasi. Lenovo hanya mengonfirmasi penerimaan pertanyaan tanpa memberikan jawaban lebih lanjut.
Fortinet Bantah Ada Insiden Baru
Juru bicara Fortinet, Tiffany Curci, menyatakan kepada TechCrunch bahwa perusahaan mengetahui adanya kampanye perburuan kredensial pihak ketiga ini. Namun, berdasarkan analisis internal, Fortinet menilai data yang digunakan dalam serangan tersebut adalah "pembagian ulang data dari insiden sebelumnya, serta hasil bruteforcing kredensial, dan tidak terkait dengan insiden atau advisori terbaru."
Pernyataan ini menepis kekhawatiran adanya celah keamanan baru pada produk mereka. Namun, para peneliti independen seperti Kevin Beaumont telah memverifikasi bahwa data yang bocor adalah asli dan valid, menunjukkan bahwa masalahnya bukan pada produk, melainkan pada kelalaian pengguna dalam mengelola kata sandi.
Sektor Paling Rawan: IT, Konstruksi, dan Telekomunikasi
Hudson Rock mencatat bahwa sektor jasa IT, material konstruksi, dan telekomunikasi menjadi yang paling banyak menjadi korban. SOCRadar menambahkan bahwa instansi pemerintah juga termasuk dalam daftar korban. Ini menjadi alarm keras bagi perusahaan dan lembaga publik di Indonesia yang menggunakan perangkat Fortinet.
Kampanye ini mengingatkan pada serangan siber tahun-tahun sebelumnya yang juga menargetkan perangkat Fortinet. Bedanya, kali ini peretas tidak perlu repot mencari celah keamanan rumit. Mereka hanya mengandalkan fakta sederhana: banyak perusahaan lupa mengganti kata sandi bawaan atau menggunakan kredensial yang sudah bocor.
