Peneliti keamanan mengatakan peretas jahat telah mengeksploitasi kerentanan yang baru ditemukan di firewall Fortinet untuk membobol jaringan perusahaan dan perusahaan.
Dalam sebuah penasehat diterbitkan pada hari Selasapembuat produk keamanan Fortinet mengonfirmasi bahwa kerentanan kritis pada firewall FortiGate miliknya, yang dilacak sebagai CVE-2024-55591, “sedang dieksploitasi secara liar.”
Fortinet menyediakan patch, namun peneliti keamanan telah memperingatkan bahwa peretas telah mengeksploitasi kerentanan secara massal sebagai zero-day – artinya sebelum Fortinet menyadari kerentanan tersebut dan menyediakan perbaikan – sejak bulan Desember.
Ini adalah contoh terbaru peretas yang mengeksploitasi kerentanan pada produk keamanan perusahaan populer yang dirancang untuk melindungi jaringan perusahaan dari penyusup. Berita tentang bug Fortinet muncul beberapa hari setelah terungkap bahwa penyerang mengeksploitasi kelemahan zero-day terpisah di server Ivanti VPN yang memungkinkan akses ke jaringan pelanggan.
Perusahaan keamanan siber Arctic Wolf mengatakan dalam a postingan blog minggu lalu para peneliti mengamati kampanye “eksploitasi massal” baru-baru ini yang memengaruhi perangkat firewall Fortinet FortiGate dengan antarmuka manajemen yang terekspos ke internet publik.
Stefan Hostetler, peneliti utama intelijen ancaman di Arctic Wolf, mengonfirmasi kepada TechCrunch bahwa eksploitasi yang diamati ini terkait dengan kerentanan CVE-2024-55591 yang baru dikonfirmasi di firewall Fortinet.
Hostetler mengatakan kepada TechCrunch bahwa Arctic Wolf telah “mengamati sekelompok intrusi yang mempengaruhi puluhan perangkat Fortinet,” tetapi mencatat bahwa ini hanya mewakili “sampel terbatas dibandingkan dengan jumlah sebenarnya perangkat yang mungkin terpengaruh.”
“Bukti menunjukkan adanya upaya untuk mengeksploitasi sejumlah besar perangkat dalam jangka waktu yang sempit,” tambah Hostetler.
Saat dihubungi oleh TechCrunch, juru bicara Fortinet Tiffany Curci menolak menyebutkan berapa banyak pelanggan Fortinet yang disusupi akibat kampanye peretasan ini, namun mengatakan bahwa perusahaan tersebut “berkomunikasi secara proaktif dengan pelanggan.”
Juga tidak jelas siapa yang berada di balik serangan terhadap firewall Fortinet, selain peneliti keamanan siber Kevin Beaumont menulis di Mastodon bahwa kerentanannya “sedang dieksploitasi oleh operator ransomware.”
Hostetler mengatakan bahwa serangan ransomware yang mengeksploitasi bug tersebut “tidak mustahil,” dan mencatat bahwa dalam penelitian sebelumnya, Arctic Fox “mengamati afiliasi kelompok ransomware seperti Akira dan Fog menggunakan beberapa penyedia jaringan yang sama untuk membangun konektivitas VPN.”
Di dalam pernyataan singkat pada hari Selasa, keamanan siber AS CISA mendesak pelanggan Fortinet untuk memperbarui perangkat apa pun yang terpengaruh.
Pada bulan September, Fortinet mengungkapkan pelanggaran yang melibatkan data pelanggan setelah penyerang mengakses “sejumlah file terbatas” yang disimpan di drive cloud bersama pihak ketiga milik organisasi tersebut.
