Selon Help Net Security, Fortinet a commencé à diffuser des versions de FortiOS corrigeant CVE-2026-24858, une vulnérabilité critique exploitée permettant à des attaquants de se connecter aux pare-feux FortiGate via FortiCloud SSO.

• Vulnérabilité et périmètre affecté. CVE-2026-24858 est un contournement d’authentification par chemin ou canal alternatif permettant à un titulaire d’un compte FortiCloud avec un appareil enregistré de se connecter à d’autres appareils rattachés à d’autres comptes, lorsque FortiCloud SSO est activé. Les produits concernés incluent FortiOS, FortiAnalyzer et FortiManager; la mise à jour du 29 janvier ajoute FortyProxy et FortiWeb. Fortinet précise que FortiManager Cloud, FortiAnalyzer Cloud, FortiGate Cloud ne sont pas impactés, et que les configurations SSO avec fournisseur d’identité tiers (SAML), y compris FortiAuthenticator, ne sont pas affectées.

• Chronologie et exploitation. Le 20 janvier, des clients Fortinet ont signalé des accès non autorisés à des FortiGate et la création de comptes admin locaux malgré des versions à jour (corrigeant déjà CVE-2025-59718). Fortinet a attribué ces intrusions à une faille distincte (CVE-2026-24858), exploitée dans la nature par deux comptes FortiCloud malveillants bloqués le 22 janvier 2026. Pour contenir l’abus, FortiCloud SSO a été désactivé le 26 janvier côté FortiCloud, puis réactivé le 27 janvier en refusant les connexions depuis des versions vulnérables.

• Correctifs et versions. La faille est corrigée dans FortiOS 7.4.11 et, au 29 janvier, également dans FortiOS 7.6.6; d’autres versions pour FortiManager et FortiAnalyzer doivent suivre. Fortinet indique que les clients doivent mettre à jour vers les dernières versions pour que FortiCloud SSO fonctionne à nouveau depuis les appareils.

• Exposition et contexte. La vulnérabilité n’est exploitable que si la fonction de connexion FortiCloud SSO est activée. D’après Shadowserver, il y a moins de 10 000 instances Fortinet exposées avec FortiCloud SSO au moment de la publication, contre 26 000+ fin décembre 2025.

• Conseils et éléments d’enquête. Fortinet a élargi la liste des adresses IP et comptes utilisés dans les attaques récentes. L’éditeur rappelle de restreindre l’accès administratif aux équipements en bordure d’Internet (ou de le limiter par politiques local-in), de vérifier les journaux pour des indicateurs de compromission et des comptes admin suspects, puis de faire tourner les identifiants et restaurer la configuration depuis une version propre si nécessaire.

IOC et TTP observés:

  • IOC:
    • Deux comptes FortiCloud malveillants (bloqués le 22/01/2026)
    • Listes d’adresses IP et de comptes utilisées dans les attaques (liste élargie par Fortinet)
  • TTP:
    • Bypass d’authentification via chemin/canal alternatif (FortiCloud SSO)
    • Création de comptes administrateurs locaux sur FortiGate
    • Abus du SSO FortiCloud pour accéder à des appareils d’autres comptes
    • Ciblage d’interfaces admin exposées sur Internet

Type d’article: article de presse spécialisé annonçant un correctif et un avis de sécurité, visant à informer des produits impactés, de l’état des correctifs et des mesures de visibilité.

🔗 Source originale : https://www.helpnetsecurity.com/2026/01/28/fortinet-forticloud-sso-zero-day-vulnerability-cve-2026-24858/