TL;DR: FortiBleed adalah julukan kampanye (bukan nama resmi Fortinet) untuk kebocoran credential admin/VPN puluhan ribu FortiGate di internet, Juni 2026. Patch saja tidak cukup kalau password lama belum diganti. Cek hari ini: versi FortiOS, rotasi password admin/VPN, MFA, log akses, dan apakah halaman admin firewall masih bisa dibuka dari internet.
Checklist yang Harus Kamu Jalankan Hari Ini
Bayangkan pagi biasa di kantor. Di grup WA internal IT/security muncul pesan: "Tolong cek semua FortiGate, ada laporan credential bocor skala besar."
Yang dimaksud itu kampanye yang komunitas keamanan siber sebut FortiBleed. Ini bukan nama produk Fortinet, tapi julukan yang sudah dipakai luas (mirip Heartbleed pas jaman dulu). Intinya: ada dataset berisi username, password, dan konfigurasi dari puluhan ribu perangkat FortiGate/Fortinet yang bisa diakses dari internet. Laporan awal Juni 2026 dirilis oleh peneliti keamanan dan dianalisis vendor seperti eSentire dan Censys; Fortinet mengakui kampanye ini di blog PSIRT resmi mereka.
Dua hal berbeda, jangan dicampur:
- FortiBleed = credential yang sudah bocor dan bisa dipakai login. Bukan CVE. Tidak ada "patch FortiBleed" - solusinya rotasi password, tutup akses halaman admin dari internet, MFA, audit log.
- CVE-2024-55591 = bug authentication bypass di FortiOS/FortiProxy tertentu (Fortinet advisory FG-IR-24-535, Januari 2025). Attacker bisa dapat akses admin tanpa tahu password kamu, asal firmware masuk daftar versi rentan dan halaman admin firewall terbuka ke internet.
Keduanya sering dibahas berdekatan karena sama-sama menyerang FortiGate di ujung jaringan - gerbang antara internet dan kantor. Tapi dampak dan langkah perbaikannya beda.
Kamu pakai FortiGate di kantor. Pertanyaan praktisnya: firmware sudah versi yang aman? Password admin dan VPN sudah diganti setelah berita ini? Siapa terakhir yang cek log login?
Di Indonesia, FortiGate dipakai luas - bank, pabrik, kantor pemerintahan, startup. Risikonya nyata kalau patching jarang, tim IT tipis, dan halaman admin firewall masih bisa dibuka dari internet.

Apa yang Sebenarnya Terjadi?
FortiGate adalah firewall - gerbang antara internet dan jaringan kantor. Berikut rangkuman peristiwanya, dari yang paling lama sampai yang paling baru.
Kronologi yang Perlu Dipahami
Akhir 2024 - Januari 2025: Serangan ke firewall Fortinet makin sering dilaporkan. Salah satu yang paling serius: CVE-2024-55591 - celah di FortiOS/FortiProxy yang memungkinkan orang luar login sebagai admin tanpa password, asal dua syarat terpenuhi: firmware kamu masuk daftar versi rentan dan halaman admin firewall bisa diakses dari internet.
Januari 2025: Kelompok Belsen Group mempublikasikan dump berisi IP, password, dan konfigurasi ribuan FortiGate. Menurut analisis Rapid7, data itu kemungkinan besar hasil peretasan atau kebocoran dari bulan-bulan sebelumnya - bukan otomatis bukti bahwa semua korban kena CVE-2024-55591.
Juni 2026: Kampanye yang komunitas keamanan sebut FortiBleed - dataset credential admin/VPN dan konfigurasi dari puluhan ribu perangkat Fortinet bocor ke publik. Ini bukan bug software baru; ini password dan konfigurasi yang sudah keluar dan bisa dipakai langsung kalau belum diganti.
Poin pentingnya: satu kali patch belum tentu cukup. Kalau credential atau konfigurasi pernah bocor, attacker bisa pakai lagi untuk login, memetakan jaringan, atau menjual akses ke pihak lain.

Kenapa Angkanya Bisa Sebesar Itu?
Firewall di ujung jaringan sering punya kombinasi risiko yang buruk: bisa dijangkau dari internet, password lama tidak pernah diganti, halaman admin terlalu terbuka, dan jadwal update firmware tidak konsisten. Di banyak organisasi, masalahnya bukan satu bug saja, tapi tumpukan kebiasaan yang bolong:
- Peringatan keamanan dari vendor tidak dibaca atau tidak sampai ke tim yang pegang firewall
- Update firmware ditunda karena takut internet kantor mati sebentar
- Akun admin lama tidak pernah diganti passwordnya
- Password VPN dipakai ulang di sistem lain
- Log siapa yang login ke firewall jarang dicek
Ini bukan kegagalan teknologi. FortiGate tetap firewall yang bagus. Ini kegagalan proses - update yang tidak rutin, monitoring yang tidak ada, dan asumsi bahwa "firewall pasti aman."
Anatomi: Apa yang Bisa Dilakukan Hacker dengan Credential Firewall?
Kalau kamu pikir "ya udah, ganti password aja" - itu belum cukup. Credential firewall yang bocor bisa menjadi gateway ke banyak hal:
Hari 1-3: Silent Access
Hacker login ke firewall kamu pakai credential yang bocor. Mereka ga langsung ngapa-ngapain. Mereka observe. Lihat network topology. Catat semua device yang terhubung. Identifikasi target bernilai tinggi - server database, file server, domain controller.
Hari 4-7: Lateral Movement
Dari firewall, hacker mulai bergerak ke dalam jaringan. Karena mereka sudah masuk ke jaringan internal, banyak proteksi dalam kantor tidak jalan - segmentasi jaringan yang longgar, traffic internal yang tidak dimonitor.
Mereka install persistent access di beberapa server. Sekarang, bahkan kalau kamu ganti password firewall, mereka sudah punya backdoor di dalam.
Hari 8-14: Data Exfiltration
Mulai copy data. Pelan-pelan. Ga sekaligus, supaya ga trigger alert bandwidth. Email archives. Financial data. Customer database. HR records. Intellectual property.
Di fase ini, kebanyakan perusahaan masih ga sadar ada orang lain di jaringan mereka.
Hari 15+: Monetization
Tergantung motivasi:
- Ransomware: Encrypt semua, minta tebusan, atau gabungkan dengan ancaman data leak
- Extortion: "Kami punya data pelangganmu. Bayar atau kami publish."
- Espionage: Jual data ke kompetitor atau nation-state
- Sabotage: Hapus data, rusak sistem (jarang, tapi terjadi)
Dalam banyak insiden, attacker bisa bertahan berhari-hari atau berminggu-minggu sebelum terdeteksi. Bayangkan apa yang bisa dilakukan hacker di jaringan kamu selama periode itu tanpa kamu sadar.

Kenapa Ini Sangat Relevan untuk Indonesia
FortiGate adalah salah satu firewall yang sangat banyak dipakai di Indonesia. Bank, rumah sakit, pabrik, kantor pemerintahan, enterprise besar - banyak yang pakai. KIN sendiri adalah Fortinet partner dan kami tahu secara langsung seberapa luas deployment-nya.
Beberapa faktor yang bikin Indonesia lebih rentan:
Patching culture belum kuat. Di banyak organisasi Indonesia, patching itu "kalau sempat." Tim IT yang kecil (kadang 1-2 orang untuk ratusan user) ga punya waktu dedicated untuk patch management. Apalagi firewall - "jangan disentuh, nanti down."
Internet cuma satu jalur. Update firmware kadang butuh restart firewall. Banyak kantor di Indonesia cuma punya satu koneksi internet - tidak ada cadangan. Restart firewall berarti seluruh kantor offline sebentar. IT jadi ragu update di jam kerja, lalu lupa jadwalkan di malam hari atau akhir pekan.
Vendor management gap. Banyak FortiGate dipasang vendor/integrator, lalu ditinggal. Kontrak maintenance habis, tidak diperpanjang. Siapa yang monitor? Siapa yang update? Tidak jelas.
Contoh yang sering terjadi: pabrik ManufakturJaya di Jakarta punya FortiGate yang belum di-update 18 bulan. Bukan karena tidak peduli - IT Manager-nya resign, penggantinya belum masuk, dan tidak ada yang tahu password admin firewall. Dalam kondisi seperti ini, risiko password lama, konfigurasi bocor, atau akses admin yang tidak terpantau jauh lebih tinggi.

5 Langkah yang Harus Dilakukan SEKARANG
Urutan di bawah ini sengaja dari yang paling mendesak. Tidak perlu tunggu audit besar - mulai dari tiga langkah pertama hari ini.
1. Cek Versi FortiOS dan Patch Segera
Login ke FortiGate kamu, buka System → Status, dan catat nomor firmware. Bandingkan dengan daftar versi rentan CVE-2024-55591 di advisory Fortinet (FG-IR-24-535). Kalau versi kamu termasuk rentan atau sudah lama tidak di-update, ini prioritas #1.
Jadwalkan maintenance window secepatnya. Advisory Fortinet = pengumuman resmi dari tim keamanan Fortinet (PSIRT) yang menjelaskan bug apa, versi mana yang kena, dan firmware mana yang aman - bukan orang CS biasa. Cek di halaman PSIRT Fortinet atau langsung FG-IR-24-535 untuk kasus ini.
Ga berani patch sendiri? Hubungi Fortinet partner. Minta mereka lakukan supervised update. Ini layak investasi.
2. Rotate SEMUA Credential
Asumsi credential lama sudah bocor. Ganti:
- Admin password firewall
- SNMP community strings
- VPN credentials
- API keys
- Certificate (kalau self-signed)
- Password semua akun yang mungkin reuse password yang sama
Dan jangan pakai password lama yang di-modifikasi ("Password2024" → "Password2025"). Generate fresh, gunakan password manager.
3. Forensic Check: Apakah Sudah Ada yang Masuk?
Review log firewall 90 hari ke belakang:
- Login dari IP yang ga dikenal?
- Konfigurasi berubah tanpa approval?
- Traffic pattern yang abnormal?
- VPN session dari lokasi yang ga masuk akal?
Kalau ada anomaly → anggap sudah ada penyusup → hubungi tim respons insiden (internal IT security atau vendor forensik seperti KIN).
4. Implementasi Monitoring yang Proper
Jangan lagi "pasang dan tinggal." Setup:
- Log forwarding ke SIEM atau minimal ke syslog server
- Alert untuk failed login attempts, config changes, unusual traffic
- Regular review - minimal mingguan, idealnya daily
- Patch notification - subscribe ke Fortinet PSIRT advisories
5. Review Architecture
Apakah firewall kamu satu-satunya pertahanan? Kalau iya, itu masalah.
- Tambahkan EDR di endpoint (SentinelOne, CrowdStrike)
- Implementasi network segmentation - jangan biarkan semua device di satu flat network
- Enable MFA untuk semua admin access - bahkan kalau password bocor, MFA jadi barrier kedua
- Pertimbangkan Zero Trust - jangan trust traffic hanya karena dia "dari dalam"
Pelajaran Terbesar: Ini Masalah Proses, Bukan Produk
FortiGate ga salah. Celah keamanan bisa muncul di produk mana pun - Cisco, Palo Alto, Check Point, semua pernah. Yang membedakan: seberapa cepat kamu patch dan seberapa baik proses monitoring kamu.
Puluhan ribu perangkat yang terekspos bukan bukti bahwa teknologinya buruk. Ini tanda bahwa proses operasional sering tertinggal:
- Ga ada jadwal patching yang konsisten
- Ga ada monitoring yang aktif
- Ga ada ownership yang jelas ("siapa yang bertanggung jawab atas firewall?")
- Ga ada rencana tanggap insiden kalau sudah kena serangan
Firewall enterprise yang kuat pun bisa jadi pintu terbuka kalau tidak di-manage.

Yang Bisa Kamu Lakukan Besok Pagi
Sebelum buka email besok, lakukan ini:
- Login ke FortiGate kamu. Cek firmware version. Kalau outdated, jadwalkan patch hari ini.
- Ganti admin password. Sekarang. Bukan besok. Sekarang.
- Review login log. 30 hari terakhir. Ada yang aneh?
- Tanya dirimu: "Siapa yang patch firewall kita terakhir kali? Kapan?"
Kalau jawaban pertanyaan terakhir itu "ga tahu" - itu jawaban yang paling bahaya.
FortiGate tetap solusi firewall enterprise yang kuat - tapi dia butuh management yang benar. Tim KIN sebagai Fortinet partner bisa bantu: patch darurat, ganti password dan credential, audit forensik, dan pasang monitoring yang proper. Kalau kamu khawatir setelah baca artikel ini - hubungi kami hari ini. Ga usah nunggu.
Pertanyaan yang Sering Diajukan (FAQ)
Apakah FortiGate saya termasuk yang bocor?
Cek dulu versi FortiOS/FortiProxy, apakah halaman admin firewall bisa diakses dari internet, dan apakah ada akun/VPN yang password-nya pernah dipakai ulang. Untuk CVE-2024-55591, FortiOS 7.0.0 - 7.0.16 termasuk versi terdampak dan perlu upgrade ke 7.0.17 atau lebih baru. Tetap lakukan rotasi credential dan audit log walaupun perangkat sudah di-patch.
Apa yang harus dilakukan sekarang?
Tiga langkah darurat: (1) Update FortiOS ke versi terbaru, (2) Ganti semua credential admin firewall, (3) Aktifkan MFA. Untuk audit menyeluruh, hubungi tim KIN.
Apakah cukup update firmware saja?
Tidak. Jika credential atau konfigurasi pernah terekspos, attacker mungkin sudah login, membuat akun baru, atau memetakan jaringan. Perlu audit akun admin, VPN user, perubahan konfigurasi, dan log akses untuk memastikan tidak ada akses tersembunyi.