Eksploitasi Kerentanan Fortinet untuk Serangan Ransomware
Penyerang siber secara aktif mengeksploitasi kerentanan kritis pada produk keamanan Fortinet untuk mendapatkan akses awal ke jaringan korban. Eksploitasi ini kemudian dimanfaatkan untuk menyebarkan dan mengaktifkan ransomware, dengan ransomware Qilin dilaporkan menjadi muatan yang digunakan. Serangan ini menyoroti risiko yang signifikan terkait dengan perangkat keamanan yang tidak ditambal.
Detail Kerentanan yang Dimanfaatkan Penyerang
Dua kerentanan Fortinet utama yang dilaporkan digunakan dalam serangan ini adalah CVE-2023-42789 dan CVE-2024-21762. CVE-2023-42789 adalah kerentanan bypass autentikasi pada FortiClient Enterprise Management Server (EMS), yang memungkinkan penyerang mengakses sistem tanpa kredensial yang valid. Sementara itu, CVE-2024-21762 adalah kerentanan zero-day (heap-based buffer overflow) pada FortiOS/FortiProxy/FortiSwitch yang memungkinkan eksekusi kode arbitrer dari jarak jauh. Eksploitasi CVE-2024-21762 sangat mengkhawatirkan karena kerentanan ini telah diketahui dieksploitasi sebelum patch tersedia secara luas.
Penyebaran Ransomware Qilin
Setelah berhasil menembus pertahanan awal menggunakan kerentanan Fortinet, penyerang akan menyebarkan ransomware Qilin di dalam jaringan yang terkompromi. Ransomware Qilin adalah jenis ransomware yang dikenal fleksibel dan dapat disesuaikan, sering digunakan dalam serangan pemerasan ganda (double extortion) di mana data tidak hanya dienkripsi tetapi juga dieksfiltrasi untuk ancaman publikasi.
Target Potensial: Sektor Pemerintahan dan Infrastruktur Kritis
Laporan mengindikasikan bahwa aktor ancaman yang menggunakan taktik eksploitasi Fortinet dan ransomware Qilin ini kemungkinan menargetkan organisasi di sektor pemerintahan dan infrastruktur kritis. Sifat kerentanan yang memungkinkan akses awal tanpa hambatan membuat organisasi yang mengandalkan perangkat Fortinet yang rentan menjadi target yang menarik bagi aktor ancaman canggih.
Langkah Mitigasi dan Rekomendasi Keamanan
Untuk mengurangi risiko serangan ini, organisasi yang menggunakan produk Fortinet yang terpengaruh harus segera mengambil tindakan pencegahan. Langkah paling krusial adalah menerapkan patch keamanan terbaru yang dirilis oleh Fortinet untuk mengatasi CVE-2023-42789 dan CVE-2024-21762. Selain itu, penting untuk melakukan audit keamanan berkala, memantau log sistem untuk aktivitas mencurigakan, dan menerapkan segmentasi jaringan serta kontrol akses yang ketat untuk membatasi pergerakan lateral penyerang jika terjadi kompromi. Pembaruan sistem yang cepat dan menyeluruh adalah kunci untuk perlindungan terhadap eksploitasi zero-day dan ransomware ini.
Sumber: https://securityaffairs.com/178736/hacking/attackers-exploit-fortinet-flaws-to-deploy-qilin-ransomware.html