Fortinet blochează vulnerabilitatea zero-day exploatată în FortiCloud SSO
Sursă: https://www.bleepingcomputer.com
Fortinet a confirmat o nouă vulnerabilitate critică de ocolire a autentificării cu autentificare unică (SSO) FortiCloud, urmărită ca CVE-2026-24858, și afirmă că a redus atacurile zero-day prin blocarea conexiunilor SSO FortiCloud de la dispozitive care rulează versiuni vulnerabile de firmware.
Vulnerabilitatea permite atacatorilor să exploateze FortiCloud SSO pentru a obține acces administrativ la dispozitivele FortiOS, FortiManager și FortiAnalyzer înregistrate la alți utilizatori, chiar și atunci când aceste dispozitive au fost complet actualizate împotriva unei vulnerabilități dezvăluite anterior.
Inițial, s-a crezut că atacurile au fost realizate printr-o ocolire a patch-ului pentru CVE-2025-59718, o vulnerabilitate critică de ocolire a autentificării SSO FortiCloud exploatată anterior, care a fost remediată în decembrie 2025.
Administratorii Fortinet au semnalat că atacatorii se conectau la dispozitivele FortiGate prin FortiCloud SSO folosind adresa de e-mail cloud-init@mail.io, apoi creau noi conturi de administrator local.
Log-urile partajate de utilizatorii afectați au arătat indicatori similari cu cei observați în timpu exploatării din decembrie.
În jurul datei de 23 ianuarie, Fortinet a confirmat că atacatorii exploatau o cale alternativă de autentificare care rămânea activă chiar și pe sistemele complet actualizate.
Deși Fortinet a afirmat că exploatarea a fost observată doar prin FortiCloud SSO, compania a avertizat că problema se aplică și altor implementări SSO bazate pe SAML.
La momentul respectiv, Fortinet a recomandat utilizatorilor să restricționeze accesul administrativ la dispozitivele lor și să dezactiveze FortiCloud SSO ca măsură de atenuare.
Avizul precizează că Fortinet a luat măsuri pentru a atenua atacurile în timp ce se dezvoltă patch-uri.
Fortinet afirmă că această modificare la nivelul serverului blochează în mod eficient exploatarea, chiar dacă FortiCloud SSO rămâne activat pe dispozitivele afectate, astfel încât nu este necesar să se ia nicio măsură la nivelul clientului până la lansarea patch-urilor.
Fortinet recomandă verificarea tuturor conturilor de administrator, restaurarea configurațiilor din backup-uri sigure și schimbarea tuturor datelor de autentificare.
Sursă: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/
