Компания Fortinet обнародовала критическую уязвимость нулевого дня, позволяющую обойти аутентификацию в функции единого входа (Single Sign-On, SSO) FortiCloud. Это произошло после того, как компания предприняла экстренные меры по временному глобальному отключению облачного сервиса аутентификации для пресечения активной эксплуатации.
В тот же день Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities).
Уязвимость, отслеживаемая как CVE-2026-24858, стала второй критической брешью в SSO FortiCloud, которую Fortinet устранила за последние недели. В декабре компания выпустила исправления для двух похожих уязвимостей обхода аутентификации — CVE-2025-59718 и CVE-2025-59719.
CVE-2026-24858 позволяла злоумышленникам скомпрометировать устройства FortiGate, FortiManager и FortiAnalyzer даже при использовании самой актуальной прошивки. Как говорится в уведомлении Fortinet, клиенты впервые сообщили о взломах 20 и 21 января, когда атакующие создавали новые локальные учетные записи администратора на полностью пропатченных устройствах.
Fortinet приступила к выпуску исправлений для затронутых продуктов, однако большинство исправленных версий в официальном уведомлении компании по-прежнему отмечены как «ожидаемые». Компания выпустила версию FortiOS 7.4.11 для устранения уязвимости и ожидает скорого выхода дополнительных обновленных версий.
«Было обнаружено, что эта уязвимость эксплуатируется в реальных условиях с использованием двух вредоносных учетных записей FortiCloud, которые были заблокированы 22 января», — добавлено в уведомлении.
Принцип работы уязвимости
Согласно уведомлению Fortinet, CVE-2026-24858 представляет собой «уязвимость обхода аутентификации с использованием альтернативного пути или канала», затрагивающую FortiOS, FortiManager и FortiAnalyzer. Оценка CVSS для этой уязвимости составляет 9.4.
В Fortinet пояснили, что уязвимость «может позволить злоумышленнику, имеющему учетную запись FortiCloud и зарегистрированное устройство, войти в другие устройства, зарегистрированные на другие учетные записи, если на этих устройствах включена аутентификация FortiCloud SSO».
Хотя FortiCloud SSO не активируется в заводских настройках по умолчанию, он автоматически включается, когда администраторы регистрируют устройства в FortiCare через графический интерфейс (GUI), если только они вручную не отключают переключатель «Разрешить вход администратора с использованием FortiCloud SSO» во время регистрации.
Fortinet отметила, что, хотя эксплуатация наблюдалась только через FortiCloud SSO, «эта проблема применима ко всем реализациям SAML SSO».
Подробности атак и индикаторы
Расследование Fortinet выявило, что злоумышленники использовали две конкретные учетные записи FortiCloud: «cloud-noc@mail.io» и «cloud-init@mail.io», хотя компания предупредила, что «эти адреса могут измениться в будущем».
Fortinet идентифицировала несколько IP-адресов, связанных с атаками, включая несколько адресов, защищенных Cloudflare, которые использовались для сокрытия действий злоумышленников.
«После аутентификации через SSO было замечено, что злоумышленник создает локальную учетную запись администратора с одним из следующих имен», — предупредила Fortinet, перечисляя такие учетные записи, как «audit», «backup», «itadmin», «secadmin», «support» и «system». Основные действия злоумышленников были сосредоточены на загрузке файлов конфигурации клиентов и создании постоянных учетных записей администратора.
Экстренное отключение на стороне облака
В ответ на активную эксплуатацию Fortinet 26 января отключила FortiCloud SSO во всей своей облачной инфраструктуре, чтобы защитить клиентов от дальнейших атак.
Функция была вновь активирована через 24 часа с критической мерой защиты. «Она была повторно включена 27 января, и теперь она больше не поддерживает вход с устройств, использующих уязвимые версии. Следовательно, клиенты должны обновиться до последних версий, перечисленных ниже, чтобы аутентификация FortiCloud SSO функционировала», — пояснили в Fortinet.
Это блокирование на стороне сервера означает, что организации, использующие уязвимые версии, не смогут применять FortiCloud SSO до тех пор, пока не обновятся до пропатченных релизов, даже если большинство этих исправлений еще недоступно.
Затронутые продукты и статус исправлений
Уязвимость затрагивает версии 7.0 по 7.6 продуктов FortiOS, FortiManager, FortiAnalyzer и FortiProxy. Версии 6.4 не затронуты. Fortinet заявила, что все еще проверяет, уязвимы ли также FortiWeb и FortiSwitch Manager.
В уведомлении Fortinet большинство пропатченных версий указано как «ожидаемые», при этом FortiOS 7.4.11, по всей видимости, является единственным выпущенным на данный момент исправлением. Инструмент обновления компании предоставляет рекомендуемые пути обновления, как только исправления станут доступны.
Федеральный дедлайн и немедленные действия
Включение CVE-2026-24858 CISA в каталог KEV обязывает федеральные гражданские исполнительные органы пропатчить затронутые системы до 17 февраля 2026 года или прекратить использование уязвимых продуктов. Агентство заявило, что уязвимость «является частым вектором атак для злонамеренных киберсубъектов и представляет значительные риски для федеральных систем».
Компания отметила, что «отключение входа FortiCloud SSO на стороне клиента на данный момент не требуется», хотя организации могут отключить эту функцию локально через системные настройки или команды CLI, если это необходимо.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
