Apa yang terjadi
Pada 18 Juni 2026, CISA dan peneliti mengungkapkan bahwa 86.644 perangkat Fortinet telah dikompromikan dengan kredensial yang berfungsi terbuka di internet. Para pelaku ancaman membangun basis data kredensial terverifikasi untuk perusahaan besar dan lembaga pemerintah, kemungkinan dikumpulkan melalui pelanggaran sebelumnya atau eksfiltrasi file konfigurasi.
Mengapa penting
Firewall yang dikompromikan adalah titik masuk ke jaringan internal yang menyelenggarakan infrastruktur AI/ML. Setelah memasuki perimeter, penyerang dapat mengompromikan server model, basis data vektor, dan sistem agentic. Ini adalah kampanye tersebar luas yang mempengaruhi infrastruktur yang penting untuk misi.
Vektor serangan
Penyerang secara sistematis melakukan pemindaian internet massal untuk mencari endpoint login jarak jauh Fortinet, kemudian menyemprotkan basis data kata sandi FortiGate bocor yang dikurasi terhadap perangkat yang ditemukan. Kompromi kredensial yang berhasil memberikan penyerang akses persisten ke jaringan perimeter perusahaan, memungkinkan gerakan lateral ke infrastruktur AI/ML internal.
Sistem yang terdampak
Firewall Fortinet FortiGate dan gateway SSL VPN; tidak ada CVE spesifik tetapi mengeksploitasi penggunaan kembali kredensial dan kebijakan kata sandi yang lemah
Mitigasi
Tindakan segera: Ubah semua kredensial admin FortiGate menjadi kata sandi unik dan kuat. Aktifkan MFA pada semua akses jarak jauh. Audit log untuk aktivitas login yang mencurigakan. Peringatan CISA di: https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure