Peringatan Keamanan: Kerentanan Kritis CVE-2026-24858 pada Fortinet FortiOS

Peringatan Keamanan: Kerentanan Kritis CVE-2026-24858 pada Fortinet FortiOS

Banda Aceh-CSIRT mengimbau seluruh Perangkat Daerah di lingkungan Pemerintah Kota Banda Aceh untuk mewaspadai kerentanan kritis pada produk Fortinet yang teridentifikasi dengan nomor CVE-2026-24858. Kerentanan ini memperoleh skor CVSS v3.1 sebesar 9.8 (Critical) dan telah dikonfirmasi dieksploitasi secara aktif di lapangan sehingga dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA.

Mengingat perangkat Fortinet banyak digunakan sebagai gerbang keamanan jaringan (firewall) pada infrastruktur layanan publik, kerentanan ini berpotensi menimbulkan dampak yang luas apabila tidak segera ditangani.

Ikhtisar

CVE-2026-24858 merupakan kerentanan authentication bypass (CWE-288) yang terkait dengan mekanisme Single Sign-On (SSO) berbasis FortiCloud. Penyerang yang memiliki akun FortiCloud sah beserta perangkat terdaftar dapat masuk ke perangkat lain milik akun yang berbeda, sepanjang fitur FortiCloud SSO diaktifkan pada perangkat tersebut.

Eksploitasi tidak memerlukan kredensial administrator pada perangkat target. Penyerang cukup memanfaatkan jalur otentikasi alternatif untuk memperoleh akses ke perangkat korban, bahkan pada sistem yang sudah memakai versi terbaru sebelum perbaikan dirilis.

Dampak

Eksploitasi yang berhasil memberi penyerang akses tidak sah ke perangkat keamanan jaringan organisasi lain. Konsekuensi yang mungkin terjadi antara lain:

  • Pembuatan akun administrator lokal baru pada perangkat firewall yang terdampak.
  • Akses tidak sah terhadap konfigurasi dan data sensitif pada perangkat (aspek kerahasiaan).
  • Perubahan kebijakan keamanan dan aturan jaringan oleh pihak tidak berwenang (aspek integritas).
  • Gangguan layanan jaringan hingga perangkat tidak dapat dioperasikan (aspek ketersediaan).
  • Pemanfaatan perangkat yang dikuasai sebagai titik pijak untuk menyerang sistem internal lain.

Sistem yang Terdampak

ProdukVersi TerdampakVersi Perbaikan
FortiOS7.0.0 – 7.0.18, 7.2.0 – 7.2.12, 7.4.0 – 7.4.10, 7.6.0 – 7.6.5FortiOS 7.4.11 atau versi terbaru sesuai cabang
FortiManager7.0.0 – 7.0.15, 7.2.0 – 7.2.11, 7.4.0 – 7.4.9, 7.6.0 – 7.6.5Ikuti FortiGuard PSIRT Advisory
FortiAnalyzer7.0.0 – 7.0.15, 7.2.0 – 7.2.11, 7.4.0 – 7.4.9, 7.6.0 – 7.6.5Ikuti FortiGuard PSIRT Advisory
FortiProxy7.0.0 – 7.0.22, 7.2.0 – 7.2.15, 7.4.0 – 7.4.12, 7.6.0 – 7.6.4Ikuti FortiGuard PSIRT Advisory
FortiWeb7.4.0 – 7.4.11, 7.6.0 – 7.6.6, 8.0.0 – 8.0.3Ikuti FortiGuard PSIRT Advisory

Detail Teknis

Akar masalah berada pada proses validasi otentikasi SSO antar-perangkat. Mekanisme FortiCloud SSO seharusnya memastikan bahwa sesi yang masuk hanya dapat mengakses perangkat yang terdaftar pada akun yang sama.

Namun, terdapat celah pada jalur otentikasi alternatif sehingga sesi SSO yang sah dari satu akun keliru diterima sebagai sesi yang berwenang pada perangkat milik akun lain. Kondisi ini membuat penyerang dapat berpindah ke perangkat korban tanpa kredensial perangkat tersebut, selama kedua perangkat sama-sama mengaktifkan FortiCloud SSO.

Rekomendasi

  • Lakukan pembaruan. Tingkatkan FortiOS ke versi 7.4.11 atau versi perbaikan sesuai cabang yang digunakan, serta perbarui FortiManager, FortiAnalyzer, FortiProxy, dan FortiWeb sesuai panduan FortiGuard PSIRT.
  • Mitigasi sementara. Apabila pembaruan belum dapat dilakukan, nonaktifkan fitur FortiCloud SSO pada perangkat hingga proses pembaruan selesai.
  • Audit akun administrator. Periksa daftar akun administrator lokal pada seluruh perangkat dan hapus akun yang tidak dikenali.
  • Tinjau log akses. Periksa catatan log untuk mengidentifikasi sesi login yang mencurigakan atau tidak wajar.
  • Batasi akses manajemen. Pastikan antarmuka manajemen perangkat tidak terekspos langsung ke internet.
  • Aktifkan pemantauan. Konfigurasikan pemantauan untuk mendeteksi perubahan konfigurasi dan pembuatan akun yang tidak sah.

Perangkat Daerah yang menemukan indikasi eksploitasi atau membutuhkan pendampingan teknis dapat menghubungi Banda Aceh-CSIRT melalui kanal pelaporan resmi.

Referensi

Kembali ke Publikasi