Fortinet a commencé à publier des correctifs pour corriger la vulnérabilité critique dans FortiOS qui est déjà exploitée dans des environnements réels. Identifiée comme CVE-2026-24858 et avec un score CVSS élevé (9.4), il s'agit d'une défaillance d'authentification de type contour liée au mécanisme de connexion unique de FortiCloud (SSO), qui affecte également FortiManager et FortiAnalyzer et pourrait affecter d'autres produits de recherche.
En termes simples, la vulnérabilité permet à un attaquant avec un compte FortiCloud et un périphérique enregistré d'utiliser un autre accès pour se connecter sur des appareils appartenant à d'autres comptes lorsque la fonction FortiCloud SSO est activée. Ce vecteur a été utilisé par les acteurs malveillants pour obtenir un contrôle administratif : ils ont créé des comptes d'administrateur locaux, modifié les configurations pour accorder l'accès VPN à ces comptes et ont supprimé les configurations de pare-feu pour maintenir la présence et pivoter sur les réseaux affectés. Fortinet décrit cet abus plus en détail dans son analyse technique posté sur son blog PSIRT.
Il est important de préciser que la fonction FortiCloud SSO n'est pas activée dans la configuration de l'usine. Il ne fonctionne que dans des scénarios où un administrateur enregistre l'appareil dans FortiCare depuis l'interface graphique et active explicitement l'option permettant la connexion administrative via FortiCloud SSO. Cela réduit la portée potentielle, mais n'élimine pas le risque: si la fonctionnalité a été activée dans n'importe quelle installation, cette installation peut être sensible.
Face à la découverte de l'exploitation, Fortinet a pris plusieurs mesures dans le nuage pour atténuer l'attaque. Parmi les actions que l'entreprise a signalées sont le blocage des comptes FortiCloud utilisés par les attaquants et la désactivation temporaire de FortiCloud SSO au niveau du service cloud, suivie d'une réactivation partielle avec des restrictions qui empêchent la connexion des appareils qui n'ont pas été mis à jour. Les détails et les versions touchés et corrigés se trouvent dans l'avis de sécurité officiel de FortiGuard FG-IR-26-060.
La rapidité et la gravité du problème ont conduit à l'Agence américaine pour l'infrastructure et la cybersécurité. Les États-Unis (CISA) incluent cette vulnérabilité dans leur catalogue de vulnérabilités exploitées connues ( KEV), obligeant les organismes fédéraux à y remédier rapidement. L'avis officiel de la CISA expliquant l'inclusion dans le catalogue est disponible Voilà..
Si vous gérez des appareils Fortinet, la recommandation est d'aborder les risques de toute urgence. Le minimum essentiel est de mettre à jour l'équipement vers les versions du firmware qui corrigent l'échec, mais il est également nécessaire de vérifier les configurations et les enregistrements à la recherche de nouveaux comptes administratifs ou de changements non autorisés : la présence d'utilisateurs locaux nouvellement créés, les règles de politique avec des modifications inattendues ou les entrées VPN donnant un large accès sont des signes d'engagement. Fortinet conseille de restaurer à partir d'une copie de configuration connue et propre si des anomalies sont détectées et changent les références pertinentes, y compris celles utilisées contre les répertoires LDAP ou Active Directory connectés à FortiGate.
Au-delà du patch, il existe des mesures opérationnelles qui aident à réduire l'exposition immédiate, comme désactiver FortiCloud SSO si ce n'est strictement nécessaire, examiner quels dispositifs sont enregistrés dans FortiCloud et vérifier la traçabilité des comptes avec des permis administratifs. Les guides et les notes techniques de Fortinet sur la façon d'identifier les indicateurs d'engagement et les étapes recommandées sont disponibles dans leurs communications officielles PSIRT et dans l'analyse de l'abus d'OSS susmentionnée.
Pour suivre les informations techniques consolidées sur la vulnérabilité, vous pouvez voir l'entrée dans le dépôt CVE et la base NIST, où il y a un résumé métrique et des références publiques: CVE-2026-24858 et NVD: CVE-2026-24858.
La leçon pour les gestionnaires et les responsables de la sécurité est claire: la combinaison de fonctions de gestion à distance et SSO ajoute de la commodité, mais elle augmente également le vecteur d'attaque si elle n'est pas strictement contrôlée qui et comment les appareils sont enregistrés dans les services cloud. La prudence et la rapidité dans l'application des mises à jour et des configurations d'audit sont la meilleure défense dans le cas d'exploitations déjà présentes sur le terrain.
Si vous pensez que l'un de vos appareils Fortinet pourrait être compromis, traitez l'infrastructure touchée comme si elle avait déjà été violée, avisez les équipes d'intervention et, le cas échéant, consultez les spécialistes de l'incident afin de contenir et de nettoyer la plateforme conformément aux recommandations officielles. Gardez sous surveillance les communications de Fortinet et des organismes de sécurité afin d'appliquer toute indication supplémentaire ou patch supplémentaire qui apparaît.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...