Seringkali perangkat Next-Generation Firewall (NGFW) dirancang untuk menjadi garda terdepan pelindung jaringan perusahaan. Namun, laporan terbaru dari firma keamanan siber SentinelOne mengungkap sebuah ironi yang meresahkan: aktor ancaman kini secara aktif menjadikan firewall FortiGate sebagai pintu masuk utama untuk membobol jaringan korban.

Kampanye serangan ini secara spesifik menargetkan lingkungan infrastruktur kritis, termasuk sektor pelayanan kesehatan, instansi pemerintah, dan Penyedia Layanan Terkelola (Managed Service Providers / MSP). Alih-alih meretas titik akhir (endpoint) pengguna, penyerang membidik jantung pertahanan jaringan untuk mengekstrak file konfigurasi yang menyimpan rahasia paling vital perusahaan.

Perangkat NGFW seperti FortiGate memiliki akses istimewa ke dalam lingkungan yang mereka lindungi. Untuk menjalankan fungsi pemfilteran berbasis peran (role-based policies), firewall ini secara konstan terhubung ke infrastruktur autentikasi inti, seperti Active Directory (AD) dan Lightweight Directory Access Protocol (LDAP).

Baca Juga: Laporan JFrog: Paket npm Beracun "OpenClaw" Bidik Developer macOS, Curi Kripto dan Kloning Sesi Peramban

Koneksi inilah yang dieksploitasi oleh penyerang. SentinelOne mencatat bahwa peretas menembus FortiGate melalui kerentanan yang baru saja diungkap (seperti CVE-2025-59718, CVE-2025-59719, dan CVE-2026-24858) atau melalui kesalahan konfigurasi dasar. Laporan tersebut membedah dua insiden kritis yang mengilustrasikan taktik ini:

Studi Kasus 1: Operasi Initial Access Broker (IAB)

• Fase Infiltrasi (Nov 2025): Penyerang membobol FortiGate dan membuat akun administrator lokal baru bernama "support". Mereka kemudian mengonfigurasi empat kebijakan firewall baru yang mengizinkan akun tersebut melintasi semua zona jaringan tanpa batas.
• Fase Monetisasi: Alih-alih langsung menyerang, peretas hanya memantau akses secara berkala. Ini adalah ciri khas Initial Access Broker (IAB) yang mengamankan pintu belakang untuk kemudian dijual kepada sindikat kriminal lain (seperti geng ransomware).
• Fase Eksekusi (Feb 2026): Pembeli akses tersebut masuk, mengunduh file konfigurasi firewall, dan mendekripsinya untuk mencuri kredensial akun layanan LDAP (fortidcagent) dalam bentuk teks terang (clear text). Dengan kredensial ini, penyerang mendaftarkan stasiun kerja (workstation) nakal ke dalam Active Directorykorban sebelum akhirnya terdeteksi saat melakukan pemindaian jaringan.

Studi Kasus 2: Pencurian "Cawan Suci" Active Directory (NTDS.dit) Pada insiden lain di akhir Januari 2026, serangan berlangsung jauh lebih agresif. Setelah menguasai firewall, peretas langsung:

1. Mengerahkan alat akses jarak jauh (Remote Access Tools) sah seperti Pulseway dan MeshAgent.
2. Mengunduh malware berbasis Java dari bucket penyimpanan AWS menggunakan PowerShell.
3. Memanfaatkan teknik DLL side-loading untuk mengekstrak dan mencuri file NTDS.dit (basis data utama yang berisi semua kata sandi domain AD) beserta registry hive SYSTEM, lalu mengirimkannya ke peladen eksternal (172.67.196[.]232).

Laporan SentinelOne ini mempertegas pergeseran fokus pelaku ancaman: menyerang infrastruktur keamanan itu sendiri memberikan tingkat keberhasilan kompromi yang jauh lebih tinggi dan dalam. Refleksi dari berbagai audit arsitektur jaringan yang kami lakukan di Fourtrezz menunjukkan bahwa, banyak administrator jaringan menerapkan mentalitas "Set and Forget" (pasang dan lupakan) pada perangkat NGFW mereka. Akun layanan (Service Account) AD yang digunakan oleh firewall sering kali diberikan hak akses domain yang terlalu luas dan kata sandinya jarang (atau bahkan tidak pernah) dirotasi.

Untuk mencegah eksploitasi konfigurasi NGFW semacam ini, kami sangat merekomendasikan tiga langkah mitigasi proaktif:

1. Terapkan Prinsip Least Privilege pada Akun Layanan: Akun AD/LDAP yang digunakan oleh FortiGate untuk kueri direktori tidak boleh memiliki hak akses Domain Admin. Akun tersebut hanya boleh memiliki hak baca (Read-Only) pada unit organisasi (OU) yang relevan.
2. Manajemen Konfigurasi Terenkripsi & Rotasi Sandi: Pastikan cadangan (backup) konfigurasi firewall dienkripsi dengan standar tinggi. Selain itu, kata sandi akun layanan yang terikat pada firewall harus dirotasi secara berkala menggunakan solusi Privileged Access Management (PAM).
3. Pemantauan Integritas Administrator (SOC/SIEM): Pembuatan akun admin lokal baru (seperti akun "support" pada kasus di atas) atau modifikasi aturan zona firewall secara tiba-tiba harus memicu peringatan Kritis (Critical Alert) di Security Operations Center (SOC) Anda. Perubahan ini harus divalidasi dengan tiket perubahan IT (Change Request) yang sah.

NGFW adalah aset bernilai tinggi (high-value target). Melindunginya bukan hanya soal memasang patch CVE terbaru, tetapi juga memastikan arsitektur keamanannya mengadopsi prinsip Zero Trust.