Fortinet is begonnen met het uitbrengen van beveiligingsupdates om een kritieke fout aan te pakken die gevolgen heeft voor FortiOS en die in het wild actief wordt uitgebuit.
De kwetsbaarheid, waaraan de CVE-identificatie is toegewezen CVE-2026-24858 (CVSS-score: 9,4), is beschreven als een authenticatie-bypass gerelateerd aan FortiOS single sign-on (SSO). De fout treft ook FortiManager en FortiAnalyzer. Het bedrijf zei dat het blijft onderzoeken of andere producten, waaronder FortiWeb en FortiSwitch Manager, door de fout worden getroffen.
“Een authenticatie-bypass met behulp van een alternatief pad of een kanaalkwetsbaarheid (CWE-288) in FortiOS, FortiManager en FortiAnalyzer kan een aanvaller met een FortiCloud-account en een geregistreerd apparaat toestaan om in te loggen op andere apparaten die bij andere accounts zijn geregistreerd, als FortiCloud SSO-authenticatie op die apparaten is ingeschakeld”, aldus Fortinet in een dinsdag uitgebracht advies.
Het is vermeldenswaard dat de FortiCloud SSO-inlogfunctie niet is ingeschakeld in de standaardfabrieksinstellingen. Het wordt alleen ingeschakeld in scenario’s waarin een beheerder het apparaat bij FortiCare registreert vanuit de GUI van het apparaat, tenzij hij of zij stappen heeft ondernomen om expliciet de schakelaar ‘Administratief inloggen met FortiCloud SSO’ om te zetten.
De ontwikkeling komt dagen nadat Fortinet bevestigde dat niet-geïdentificeerde bedreigingsactoren misbruik maakten van een ‘nieuw aanvalspad’ om SSO-logins te verkrijgen zonder dat enige authenticatie nodig was. De toegang werd misbruikt om lokale beheerdersaccounts aan te maken voor persistentie, configuratiewijzigingen aan te brengen waardoor VPN-toegang tot die accounts werd verleend, en om die firewallconfiguraties te exfiltreren.
De afgelopen week zei de netwerkbeveiligingsleverancier dat het de volgende stappen heeft genomen:
- Twee kwaadaardige FortiCloud-accounts ([email protected] en [email protected]) geblokkeerd op 22 januari 2026
- FortiCloud SSO aan de FortiCloud-kant uitgeschakeld op 26 januari 2026
- FortiCloud SSO opnieuw ingeschakeld op 27 januari 2026, maar de optie om in te loggen vanaf apparaten met kwetsbare versies uitgeschakeld
Met andere woorden: klanten moeten upgraden naar de nieuwste versies van de software om de FortiCloud SSO-authenticatie te laten functioneren. Fortinet dringt er ook bij gebruikers die tekenen van een inbreuk op ontdekken op aan om hun apparaten als gehackt te beschouwen en beveelt de volgende maatregelen aan:
- Zorg ervoor dat het apparaat de nieuwste firmwareversie gebruikt
- Herstel de configuratie met een bekende schone versie of controleer op eventuele ongeautoriseerde wijzigingen
- Roteer inloggegevens, inclusief eventuele LDAP/AD-accounts die mogelijk zijn verbonden met de FortiGate-apparaten
Deze ontwikkeling heeft ertoe geleid dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) CVE-2026-24858 heeft toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de opdracht hebben gekregen om de problemen vóór 30 januari 2026 op te lossen.
