Cyberthreat.id – Meski pembaruan keamanan telah dirilis, tak setiap pelanggan perangkat lunak mau segera menginstalnya, bahkan tak sedikit yang mengabaikannya.

Kondisi tersebut diperparah dengan aktivitas peretas yang tak kenal menyerah; mereka selalu berupaya mengeksploitasi setiap kerentanan yang telah diungkapkan ke publik oleh perusahaan perangkat lunak (vendor).

Fortinet, perusahaan keamanan jaringan Amerika Serikat, mengingatkan kepada pelanggannya tentang ancaman tersebut. Perusahaan menuturkan, peretas tak dikenal telah menggunakan kerentanan zero-day (belum ditambal) pada perangkat lunak FortiOS, padahal tambalan baru telah dirilis bulan lalu.

Serangan-serangan yang terdeteksi Fortinet menargetkan organisasi pemerintah dan swasta. Tampaknya, peretas berupaya untuk mencuri data.

Pada 7 Maret 2023, Fortinet kembali membuat pembaruan keamanan untuk mengatasi kerentanan tingkat tinggi yang dilabeli CVE-2022-41328. Kerentanan ini memungkinkan peretas mengeksekusi kode atau perintah ilegal, tutur Fortinet.

"Pembatasan pathname yang tidak tepat pada kerentanan direktori terbatas (path traversal) [CWE-22] di FortiOS memungkinkan penyerang membaca dan menulis file arbitrer melalui perintah CLI," Fortinet menulis di nasihat keamanannya.

Sejumlah produk Fortinet yang terkena dampak dari kerentanan tersebut mencakup:

• FortiOS versi 7.2.0 hingga 7.2.3
• FortiOS versi 7.0.0 hingga 7.0.9
• FortiOS versi 6.4.0 hingga 6.4.11
• FortiOS 6.2 semua versi
• FortiOS 6.0 semua versi

Untuk menambal kelemahan itu, pelanggan atau pengguna FortiOS harus meng-upgrade produk yang rentan ke FortiOS versi 6.4.12 dan yang lebih baru, FortiOS versi 7.0.10 dan yang lebih baru, atau FortiOS versi 7.2.4 dan yang lebih baru.

Meski nasihat keamanan itu tidak menyebutkan bahwa bug tersebut dieksploitasi di alam liar sebelum tambalan dirilis, laporan Fortinet yang diterbitkan pekan lalu menegaskan, eksploitasi CVE-2022-41328 telah digunakan untuk meretas dan menghapus beberapa perangkat firewall FortiGate milik salah  satu pelanggannya, tulis BleepingComputer.

Insiden itu ditemukan setelah perangkat Fortigate yang disusupi akan dimatikan, muncul pesan: "System enters error-mode due to FIPS error: Firmware Integrity self-test failed". Perangkat pun gagal melakukan booting.

Fortinet mengatakan kondisi itu terjadi karena perangkat yang mendukung FIPS memverifikasi integritas komponen sistem, dan memang alat dikonfigurasi mati secara otomatis serta menghentikan booting sebagai cara memblokir pelanggaran jaringan jika penyusupan terdeteksi.

Firewall Fortigate tersebut dijebol melalui perangkat FortiManager di jaringan korban, diretas menggunakan taktik yang sama—exploit pada path traversal FortiGate diluncurkan bersamaan dengan skrip yang dieksekusi melalui FortiManager.

Peretas memodifikasi firmware image perangkat (/sbin/init) untuk meluncurkan payload (/bin/fgfm) sebelum proses booting dimulai.

Malware yang dipakai itu memungkinkan eksfiltrasi data, mengunduh dan menulis file, atau membuka shell jarak jauh saat menerima paket ICMP yang berisi string ";7(Zu9YTsA7qQ#vm".

Fortinet menyimpulkan, serangan sangat ditargetkan, dengan beberapa bukti menunjukkan bahwa peretas memang menargetkan jaringan pemerintah.

Malware yang dipakai juga menunjukkan, aktor tersebut memiliki kemampuan canggih, termasuk merekayasa balik berbagai bagian FortiOS.[]