Cyberthreat.id – Langkah perbaikan kerentanan (bug) pada sejumlah produk Fortinet yang rentan dipertanyakan. Fortinet dianggap terlalu lama merilis perbaikan sejak pelaporan bug pada Mei 2018.

Fortinet baru berhasil memperbaikinya pada Maret 2019. Perusahaan produk keamanan siber asal Amerika Serikat tersebut membutuhkan waktu 10 hingga 18 bulan untuk menghapus kunci enkripsi hardcoded dari tiga produk yang mengekspos data pelanggan.

Kunci enkripsi hardcoded ditemukan di FortiOS untuk firewall FortiGate dan perangkat lunak perlindungan endpoint FortiClient (antivirus) untuk Mac dan Windows.

Ketiga produk ini menggunakan algoritma (chiper) enkripsi lemah (XOR) dan kunci kriptografi hardcoded untuk berkomunikasi dengan berbagai layanan komputasi awan (cloud) FortiGate.

Kunci hardcoded digunakan untuk mengenkripsi lalu lintas pengguna untuk fitur FortiGuard Web Filter, fitur FortiGuard AntiSpam, dan fitur FortiGuard AntiVirus.

Masalah-masalah itu ditemukan pada Mei 2018 oleh Stefan Viehböck, seorang peneliti keamanan siber SEC Consult asal Singapura.

Fortinet baru bisa menghapus kunci enkripsi dari versi terbaru FortiOS pada Maret 2019, sepuluh bulan setelah laporan awal.

Lalu, mereka butuh delapan bulan untuk menghapus kunci enkripsi dari versi yang lebih lama, dengan tambalan terakhir dirilis awal November ini.

Berikut produk Fortinet yang terkena dampak:

• FortiOS 6.0.6 dan di bawahnya
• FortiClientWindows 6.0.6 dan yang lebih baru
• FortiClientMac 6.2.1 dan di bawahnya

Administrator sistem disarankan untuk menerapkan tambalan (patch) berikut untuk menghapus kunci enkripsi hardcoded:

• FortiOS 6.0.7 atau 6.2.0
• FortiClientWindows 6.2.0
• FortiClientMac 6.2.2

Dihubungi oleh ZDNet, juru bicara Fortinet menjelaskan alasan lamanya perusahaan menangani bug tersebut.

"Keamanan pelanggan kami adalah prioritas utama di Fortinet. Setelah masalah ini diungkapkan kepada Fortinet, kami segera mulai bekerja dengan tim peneliti internal kami untuk mengembangkan pembaruan perangkat lunak untuk produk yang terpengaruh,” kata jubir tersebut.

“Sebagai bagian dari proses itu, tim mengambil waktu untuk merancang solusi sementara melindungi koneksi ke Layanan FortiGuard untuk pelanggan kami.”

“...Fortinet tidak menyampaikan informasi ke penasihat sampai semua solusi ada, diuji, dan tersedia untuk produk yang terpengaruh," demikian penjelasannya.

Apa ancamannya?

Bug kritis tersebut memiliki ancaman yang mengkhawatirkan. Penjahat siber atau siapa pun bisa mengamati lalu lintas pengguna dan dapat mengambil kunci enkripsi hardcode dan mendekripsi aliran data yang dienkripsi lemah tersebut. Bergantung pada produk apa yang digunakan perusahaan, penjahat akan mempelajari, sebagai berikut:

• Tautan HTTP atau HTTPS lengkap untuk aktivitas selancar web pengguna (dikirim untuk pengujian ke fitur Web Filter)
• Data email dikirim untuk pengujian ke fitur AntiSpam
• Data antivirus (dikirim untuk pengujian ke fitur AntiVirus (Fortinet cloud)

Selain mengendus lalu lintas pengguna, penyerang juga bisa menggunakan kunci enkripsi hardcoded yang sama untuk mengubah dan mengenkripsi ulang respons, menghilangkan tanda peringatan untuk deteksi malware atau URL yang buruk.