Serangkaian serangan siber baru menargetkan perangkat firewall Fortinet FortiGate dengan memanfaatkan celah pada fitur FortiCloud single sign-on. Aktivitas ini terdeteksi sejak pertengahan Januari 2026 dan menunjukkan pola yang sangat terstruktur serta dijalankan secara otomatis, menimbulkan kekhawatiran serius bagi pengelola jaringan dan infrastruktur digital.
Peringatan ini muncul setelah peneliti keamanan menemukan adanya perubahan konfigurasi firewall tanpa izin. Perubahan tersebut bukan dilakukan secara acak, melainkan melalui akses masuk yang tampak sah lewat mekanisme login SSO. Padahal, akses itu terjadi tanpa proses autentikasi yang semestinya. Dengan kata lain, sistem memperlakukan pelaku seolah-olah telah lolos verifikasi, meskipun sebenarnya tidak.
Akar persoalannya terletak pada dua kerentanan keamanan yang berkaitan dengan implementasi SSO berbasis SAML di ekosistem Fortinet. Jika fitur FortiCloud SSO diaktifkan, celah ini memungkinkan siapa pun mengirimkan pesan SAML yang dimodifikasi untuk melewati proses login. Dampaknya tidak hanya terbatas pada FortiGate, tetapi juga menjalar ke produk lain seperti FortiOS, FortiWeb, FortiProxy, dan FortiSwitchManager.
Dalam praktiknya, pelaku memanfaatkan celah tersebut untuk membuat akun-akun baru dengan nama umum yang tidak mencurigakan. Akun ini digunakan sebagai pintu masuk jangka panjang ke dalam sistem. Setelah itu, konfigurasi firewall diubah agar akun tersebut memiliki akses VPN, dan seluruh pengaturan perangkat diekspor keluar. Semua langkah ini dilakukan dalam hitungan detik, menandakan penggunaan skrip atau alat otomatis.
Yang membuat situasi semakin mengkhawatirkan, aktivitas serupa dilaporkan masih terjadi bahkan pada perangkat yang telah diperbarui ke versi terbaru. Beberapa pengelola sistem melaporkan bahwa akses mencurigakan tetap muncul meskipun pembaruan keamanan telah diterapkan, memunculkan dugaan bahwa perbaikan yang ada belum sepenuhnya menutup celah.
Isu ini penting karena firewall merupakan lapisan pertahanan utama jaringan. Jika konfigurasi firewall dapat diambil alih, maka seluruh lalu lintas data, kebijakan akses, hingga koneksi jarak jauh berada dalam risiko. Informasi sensitif dapat dipetakan, disalin, atau dimanfaatkan untuk serangan lanjutan yang lebih merusak.
Dampaknya terasa langsung bagi organisasi yang mengandalkan perangkat Fortinet untuk menjaga jaringan internal, layanan cloud, maupun koneksi kerja jarak jauh. Perubahan kecil pada firewall dapat membuka akses tidak sah ke sistem penting tanpa disadari. Oleh karena itu, langkah mitigasi sementara seperti menonaktifkan fitur login admin melalui FortiCloud SSO menjadi krusial sambil menunggu kejelasan dan pembaruan keamanan lanjutan dari pengembang.
Kasus ini kembali menegaskan bahwa pembaruan perangkat lunak saja tidak selalu cukup. Pemantauan aktivitas login, audit akun administrator, dan pembatasan fitur yang tidak benar-benar dibutuhkan menjadi bagian penting dalam menjaga keamanan infrastruktur digital di tengah lanskap ancaman yang semakin otomatis dan agresif.