GreyNoise mencatat gelombang brute-force ke Fortinet SSL VPN yang kemudian beralih menarget FortiManager. Pahami pola serangan, indikator, dan mitigasi untuk organisasi di Indonesia.
Lonjakan 3 Agustus 2025 dan skala serangan
Firma intelijen ancaman GreyNoise mengamati aktivitas terkoordinasi pada 3 Agustus 2025 yang melibatkan lebih dari 780 alamat IP unik melakukan brute-force ke Fortinet SSL VPN. Dalam 24 jam terakhir, 56 IP berbeda masih tercatat aktif. Sumber IP beragam—AS, Kanada, Rusia, hingga Belanda—dengan target yang tersebar di AS, Hong Kong, Brasil, Spanyol, dan Jepang. Pola lalu lintas yang menyasar profil FortiOS menunjukkan niat yang spesifik, bukan sekadar pemindaian oportunistik acak.
Dua gelombang, dua sidik jari TCP
GreyNoise mengurai dua gelombang serangan yang muncul sebelum dan sesudah 5 Agustus. Gelombang pertama bersifat menetap dengan satu signature TCP yang konsisten—ciri umum kampanye brute-force jangka panjang. Gelombang kedua justru meledak tiba-tiba dan terkonsentrasi singkat menggunakan signature TCP berbeda. Perbedaan sidik jari ini menandakan variasi alat atau orkestrasi infrastruktur, sehingga deteksi berbasis pola perlu menyesuaikan aturan korelasi dan rate limiting.
Pergeseran target: dari FortiOS ke FortiManager
Setelah 5 Agustus, lalu lintas yang di-fingerprint dengan kombinasi signature klien dan TCP tidak lagi mengenai FortiOS. Aktivitas beralih konsisten ke FortiManager, komponen pengelolaan terpusat Fortinet. Pergeseran ini menyiratkan penyerang—kemungkinan memanfaatkan infrastruktur atau toolset yang sama—membidik layanan Fortinet lain yang memiliki nilai tinggi bagi lateral movement dan pengendalian massal kebijakan perangkat.
Jejak historis dan dugaan pemanfaatan jaringan residensial
Penelusuran jejak historis pada fingerprint pasca 5 Agustus menemukan lonjakan sebelumnya pada Juni, dengan signature klien unik yang terhubung ke perangkat FortiGate di blok ISP residensial (dikelola oleh Pilot Fiber Inc.). Ini membuka dua skenario: alat brute-force sempat diuji atau dijalankan dari rumah, atau infrastruktur menyerang bersembunyi di balik proxy residensial. Keduanya menyulitkan attribution serta memberi penyerang keuntungan evasion terhadap daftar blok IP pusat data.
Sinyal dini dan potensi CVE baru
GreyNoise juga menyoroti pola berulang: lonjakan aktivitas berbahaya kerap diikuti pengungkapan CVE baru untuk teknologi yang sama dalam rentang enam minggu. Fenomena ini paling sering terlihat pada teknologi tepi enterprise—VPN, firewall, dan alat akses jarak jauh—yang semakin digandrungi aktor ancaman maju. Artinya, organisasi perlu bersikap proaktif: jangan menunggu advisory vendor; perketat attack surface begitu sinyal dini terdeteksi.
Implikasi untuk organisasi di Indonesia & langkah mitigasi
Di Indonesia, Fortinet banyak dipakai oleh korporasi, institusi pendidikan, dan penyedia layanan TI. Brute-force terhadap SSL VPN dan FortiManager berarti kredensial dan konsol kendali bisa terpapar. Prioritaskan: (1) MFA wajib untuk VPN/admin, (2) kebijakan lockout & rate limit login, (3) IP allowlist/GeoIP untuk akses admin, (4) audit password policy dan rotasi rahasia, (5) pisahkan jaringan manajemen (segregasi dan akses jump host), (6) pantau anomali login dan signature TCP baru, (7) perbarui ke rilis yang didukung dan siapkan playbook jika advisory Fortinet/CVE baru keluar. Untuk SOC, buat aturan deteksi atas lonjakan autentikasi gagal, pola credential stuffing, dan koneksi ke endpoint FortiManager dari ASN residensial.