FortiBleed: 73.000+ Firewall Fortinet Dibobol dalam Kampanye Pencurian Kredensial Masif

Metode Eksploitasi: Bukan Zero-Day, Hanya Kebersihan Buruk

Meskipun namanya mengingatkan pada Heartbleed, FortiBleed tidak ada hubungannya dengan kerentanan perangkat lunak. Banyak firma keamanan — termasuk TechCrunch, SOCRadar, Hudson Rock, dan Arctic Wolf — mengonfirmasi bahwa tidak ada kerentanan yang tidak diketahui (zero-day) yang digunakan .

Sebagai gantinya, para peretas mengikuti pendekatan rantai pasokan dua langkah:

• Langkah 1: Memanen kredensial dari malware infostealer. Kredensial untuk antarmuka admin Fortinet dan portal VPN awalnya dicuri dari komputer karyawan dan administrator yang terinfeksi malware infostealer .
• Langkah 2: Memecahkan hash kata sandi dari konfigurasi yang terekspos. Setelah mendapatkan akses awal, peretas mengekstrak file konfigurasi dari perangkat FortiGate yang terhubung ke internet dan memecahkan hash kata sandi SSL VPN yang tersimpan menggunakan klaster 45 GPU, mengeksploitasi kata sandi yang lemah atau tidak pernah diganti .

SOCRadar mengonfirmasi bahwa para peretas mengumpulkan setidaknya 30.791 kredensial kerja yang terverifikasi dari perangkat FortiGate yang terhubung ke internet . Analisis independen Arctic Wolf mengonfirmasi perkiraan perangkat yang dibobol berkisar antara 30.000 hingga 75.000 .

Korban Terkenal

Korban yang terkonfirmasi yang disebutkan di berbagai laporan termasuk Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, dan PwC, bersama dengan lembaga pemerintah di setidaknya 15 negara . Reuters melaporkan bahwa mayoritas perangkat yang dibobol berlokasi di Amerika Serikat, India, dan Taiwan .

Industri yang paling terkena dampak, menurut data yang dianalisis, adalah:

• Layanan TI (penyedia layanan terkelola, operasi cloud)
• Bahan konstruksi (pemasok multinasional besar)
• Telekomunikasi (operator tingkat satu dan ISP)

Banyak sumber mengidentifikasi ketiganya sebagai sektor yang paling terdampak .

Serangan Terkait yang Terjadi Bersamaan

Bersamaan dengan FortiBleed, peneliti mengamati 2,1 miliar percobaan login brute-force terhadap lebih dari 160.000 server MSSQL yang terhubung ke internet, yang diyakini dijalankan oleh kelompok ancaman yang sama .

Atribusi

Baik SOCRadar maupun Hudson Rock mengaitkan kampanye ini dengan kelompok ancaman multi-operator berbahasa Rusia . Para peretas mempertahankan infrastruktur back-end yang aktif — termasuk cron job, telemetri, dan loop pencurian kredensial langsung — pada perangkat yang dibobol, menunjukkan operasi yang canggih dan berkelanjutan, bukan sekadar pengambilan data satu kali .

Respons yang Direkomendasikan

Firma keamanan termasuk Hudson Rock, Arctic Wolf, dan Fortinet merekomendasikan tindakan segera berikut untuk organisasi mana pun yang menggunakan perangkat Fortinet:

• Paksa rotasi kredensial segera untuk semua akun admin FortiGate dan SSL VPN .
• Terapkan autentikasi multi-faktor (MFA) pada setiap login VPN — ini adalah kontrol paling efektif untuk melawan serangan credential stuffing .
• Audit log perangkat untuk mencari ekspor konfigurasi yang tidak sah, cron job yang tidak dikenal, dan sesi VPN yang anomali .
• Batasi akses antarmuka manajemen hanya ke IP tepercaya; jangan pernah membiarkan UI admin atau SSH terbuka ke internet publik .

Portal Pemeriksaan Eksposur Gratis

Hudson Rock meluncurkan portal pencarian gratis yang memungkinkan organisasi mana pun untuk mencari domain mereka terhadap data kredensial dari 73.932 perangkat. Alat ini dipublikasikan secara luas pada 17–18 Juni 2026 .