Fortinet warnt vor einer aktiv ausgenutzten Schwachstelle (CVE-2026-24858) mit kritischem CVSS-Score von 9,8. Die Lücke betrifft FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb und erlaubt Angreifern mit einem FortiCloud-Account, sich auf fremden Geräten anzumelden, wenn dort die FortiCloud SSO-Authentifizierung aktiviert ist.
Die Schwachstelle wurde bereits in der Praxis ausgenutzt. Fortinet identifizierte zwei kompromittierte FortiCloud-Accounts und hat am 26. Januar zunächst die SSO-Funktion deaktiviert. Seit dem 27. Januar ist sie wieder aktiv, blockiert jedoch Logins von verwundbaren Versionen. Angreifer erstellten nach erfolgreicher Anmeldung lokale Admin-Konten mit Namen wie „audit“, „backup“ oder „support“ und luden Konfigurationsdateien herunter.
So erkennen Sie eine Betroffenheit: Prüfen Sie, ob Sie Fortinet-Produkte der Versionen 7.0 bis 7.6 einsetzen und ob FortiCloud SSO aktiviert ist (System > Settings > „Allow administrative login using FortiCloud SSO“). Kontrollieren Sie Ihre Admin-Konten auf unbekannte Einträge und durchsuchen Sie Log-Dateien nach verdächtigen IP-Adressen (insbesondere 104.28.x.x, 163.61.198.15) oder den bekannten Angreifer-Accounts.
Empfehlung: Aktualisieren Sie umgehend auf die gepatchten Versionen (FortiOS 7.6.6+, 7.4.11+; FortiManager/FortiAnalyzer 7.6.6+, 7.4.10+). Für ältere Versionen werden Updates vorbereitet. Die manuelle Deaktivierung von FortiCloud SSO ist derzeit nicht zwingend erforderlich, da Fortinet vulnerable Versionen serverseitig blockiert. Löschen Sie verdächtige Admin-Accounts sofort.
Quelle: https://fortiguard.fortinet.com/psirt/FG-IR-26-060
