Fortinet hat begonnen, Patches zu veröffentlichen, um kritische Schwachstellen in FortiOS zu korrigieren, die bereits in realen Umgebungen genutzt werden. als CVE-2026-24858 und mit einem hohen CVSS-Score (9.4), ist es ein Bypass-Typ Authentifizierungsfehler im Zusammenhang mit FortiClouds Single Login-Mechanismus (SSO), der auch FortiManager und FortiAnalyzer betrifft und andere Forschungsprodukte beeinflussen könnte.
Die Schwachstelle ermöglicht es einem Angreifer mit einem FortiCloud-Account und einem registrierten Gerät, alternativen Zugriff auf Geräte zu verwenden, die bei aktivierter FortiCloud SSO-Funktion zu anderen Konten gehören. Dieser Vektor wurde von bösartigen Akteuren verwendet, um die administrative Kontrolle zu erhalten: Sie haben lokale Administratorkonten erstellt, geänderte Konfigurationen, um VPN-Zugriff auf diese Konten zu gewähren und Firewall-Konfigurationen entfernt, um Präsenz zu erhalten und auf betroffenen Netzwerken zu schwenken. Fortinet beschreibt diesen Missbrauch näher in seiner technischen Analyse veröffentlicht auf seinem PSIRT Blog.
Es ist wichtig zu klären, dass die FortiCloud SSO Funktion nicht in der Werkskonfiguration aktiviert wird. Es kommt nur in Szenarien in Betrieb, in denen ein Administrator das Gerät in FortiCare von der grafischen Schnittstelle aufnimmt und die Möglichkeit, die administrative Anmeldung durch FortiCloud SSO ausdrücklich aktiviert. Dadurch wird der Potentialumfang reduziert, das Risiko aber nicht beseitigt: Wenn die Funktionalität in jeder Installation aktiviert ist, kann diese Installation anfällig sein.
Angesichts der Entdeckung der Ausbeutung hat Fortinet mehrere Maßnahmen in der Cloud ergriffen, um den Angriff zu mildern. Unter den Aktionen, die das Unternehmen gemeldet hat, sind die Sperrung von FortiCloud-Konten, die von den Angreifern verwendet werden, und die vorübergehende Deaktivierung von FortiCloud SSO auf Cloud-Service-Ebene, gefolgt von einer teilweisen Reaktivierung mit Einschränkungen, die verhindern, dass die Anmeldung von Geräten, die nicht aktualisiert wurden. Betroffene und korrigierte Versionen finden Sie im offiziellen Sicherheitshinweis von FortiGuard FG-IR-26-060.
Die Geschwindigkeit und Schwere des Problems haben zur US-Infrastruktur- und Cybersicherheitsagentur geführt. US (CISA) umfassen diese Schwachstelle in ihrem Katalog bekannter ausgebeuteter Schwachstellen ( KEV), die Bundesbehörden dazu zwingen, sie zügig abzuschaffen. Die offizielle Mitteilung der CISA zur Erläuterung der Aufnahme in den Katalog ist verfügbar Hier..
Wenn Sie Fortinet-Geräte verwalten, ist die Empfehlung, das Risiko dringend anzusprechen. Das wesentliche Minimum ist die Aktualisierung der Geräte auf die Firmware-Versionen, die den Fehler korrigieren, aber es ist auch notwendig, die Konfigurationen und Aufzeichnungen auf der Suche nach neuen administrativen Konten oder unautorisierten Änderungen zu überprüfen: das Vorhandensein von neu erstellten lokalen Benutzern, politische Regeln mit unerwarteten Änderungen oder VPN-Einträgen, die weiten Zugriff geben, sind Zeichen des Engagements. Fortinet empfiehlt die Wiederherstellung einer bekannten und sauberen Konfigurationskopie, wenn Anomalien erkannt und relevante Anmeldeinformationen geändert werden, einschließlich derjenigen, die gegen LDAP oder Active Directory-Verzeichnisse verwendet werden, die mit FortiGate verbunden sind.
Neben dem Patch gibt es operative Maßnahmen, die helfen, die sofortige Exposition zu reduzieren, wie z.B. FortiCloud SSO deaktivieren, wenn nicht unbedingt erforderlich, überprüfen, welche Geräte in FortiCloud registriert sind und überprüfen Sie die Rückverfolgbarkeit von Konten mit administrativen Genehmigungen. Fortinets Anleitungen und technische Hinweise zur Identifizierung von Verpflichtungsindikatoren und empfohlenen Schritten sind in ihrer offiziellen Mitteilung verfügbar PSIRT und in der oben genannten SSO-Missbrauchanalyse.
Um den konsolidierten technischen Informationen über die Sicherheitslücke zu folgen, können Sie den Eintrag in das CVE-Repository und die NIST-Basis sehen, wo es metrische Zusammenfassungen und öffentliche Referenzen gibt: CVE-2026-24858 und NVD: CVE-2026-24858.
Die Lektion für Manager und Sicherheitsbeamte ist klar: Die Kombination von Remote-Management-Funktionen und SSO fügt Komfort hinzu, aber es erhöht auch den Angriffsvektor, wenn es nicht streng kontrolliert wird, wer und wie Geräte in Cloud-Services aufgenommen werden. Die Vorsicht und Geschwindigkeit bei der Anwendung von Updates und Auditing-Konfigurationen sind die beste Verteidigung bei bereits auf dem Boden befindlichen Betrieben.
Wenn Sie denken, dass eine Ihrer Fortinet-Geräte beeinträchtigt werden könnte, behandeln Sie die betroffene Infrastruktur, als wäre sie bereits verletzt worden, melden Sie die Antwortteams und, falls erforderlich, konsultieren Sie Vorfallspezialisten, um die Plattform nach offiziellen Empfehlungen zu enthalten und zu reinigen. Halten Sie die Kommunikation von Fortinet und den Sicherheitsbehörden unter Überwachung, um zusätzliche Indikation oder zusätzliche Patch, die angezeigt wird, anzuwenden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...