Fortinet opravil aktívne zneužívanú kritickú zraniteľnosť vo FortiCloud SSO

Spoločnosť Fortinet vydala bezpečnostné aktualizácie FortiOS, FortiManager, FortiProxy a FortiAnalyzer, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť vo FortiCloud SSO. CVE-2026-24858 by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie autentifikácie na zraniteľné zariadenia.

Zraniteľné systémy:

• FortiAnalyzer 7.6.0 až 7.6.5
• FortiAnalyzer 7.4.0 až 7.4.9
• FortiAnalyzer 7.2.0 až 7.2.11
• FortiAnalyzer 7.0.0 až 7.0.15
• FortiManager 7.6.0 až 7.6.5
• FortiManager 7.4.0 až 7.4.9
• FortiManager 7.2.0 až 7.2.11
• FortiManager 7.0.0 až 7.0.15
• FortiOS 7.6.0 až 7.6.5
• FortiOS 7.4.0 až 7.4.10
• FortiOS 7.2.0 až 7.2.12
• FortiOS 7.0.0 až 7.0.18
• FortiProxy 7.6.0 až 7.6.4
• FortiProxy 7.4.0 až 7.4.12
• FortiProxy 7.2.0 až 7.2.15
• FortiProxy 7.0.0 až 7.0.22
• FortiWeb 8.0.0 až 8.0.3
• FortiWeb 7.6.0 až 7.6.6
• FortiWeb 7.4.0 až 7.4.11

Opis zraniteľností:

CVE-2026-24858 (CVSS 3.0 skóre 9,8)

Aktívne zneužívanú kritickú zraniteľnosť FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb s identifikátorom CVE-2026-24858 by vzdialený neautentifikovaný útočník mohol zneužiť na získanie prístupu do zariadení registrovaných na cudzie účty, ktoré majú povolenú autentifikáciu FortiCloud SSO. Na to potrebuje účet na službe FortiCloud a registrované zariadenie od spoločnosti Fortinet.

Prihlasovanie pomocou FortiCloud SSO nie je štandardne predkonfigurované, no aktivuje sa po zaregistrovaní zariadenia do služby FortiCare cez grafické rozhranie.

Možné škody:

• Obídenie bezpečnostných prvkov

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu firmvéru zraniteľných zariadení aspoň na verziu:

• FortiAnalyzer 7.6.6, 7.4.10, 7.2.12 alebo 7.0.16
• FortiManager 7.6.6, 7.4.10, 7.2.12 alebo 7.0.16
• FortiOS 7.6.6, 7.4.11, 7.2.13 alebo 7.0.19
• FortiProxy 7.6.6, 7.4.13, 7.2.16 alebo 7.0.23
• FortiWeb 8.0.4, 7.6.7 alebo 7.4.12

V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno pre FortiManager a FortiAnalyzer mitigovať deaktiváciou prihlasovania prostredníctvom FortiCloud SSO a limitovaním prístupu k manažmentovému rozhraniu zariadenia len na zoznam dôveryhodných IP adries. Služba FortiCloud SSO nepodporuje pokusy o prihlásenie zo zraniteľných klientov, preto pre ne netreba vykonať žiadnu aktivitu.

Odporúčame tiež skontrolovať logy na prítomnosť IOC a pokusy o zneužitie zraniteľnosti. V prípade ich detekcie možno zariadenie považovať za kompromitované.

IOC:

E-mail
cloud-init[at]mail[.]io
cloud-noc[at]mail[.]io
IP address
104.28.244[.]115
104.28.212[.]114
104.28.195[.]105
104.28.195[.]106
104.28.212[.]115
104.28.227[.]106
104.28.227[.]105
104.28.244[.]114
37.1.209[.]19
217.119.139[.]50
Account name
audit
backup
itadmin
secadmin
support
backupadmin
deploy
remoteadmin
security
svcadmin
system

Zdroje:

• https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios 
• https://fortiguard.fortinet.com/psirt/FG-IR-26-060
• https://nvd.nist.gov/vuln/detail/CVE-2026-24858