Kritische Sicherheitslücke in Fortinet-Produkten ermöglicht unbefugten Zugriff

Fortinet warnt vor einer aktiv ausgenutzten Schwachstelle (CVE-2026-24858) mit kritischem CVSS-Score von 9,8. Die Lücke betrifft FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb und erlaubt Angreifern mit einem FortiCloud-Account, sich auf fremden Geräten anzumelden, wenn dort die FortiCloud SSO-Authentifizierung aktiviert ist.

Die Schwachstelle wurde bereits in der Praxis ausgenutzt. Fortinet identifizierte zwei kompromittierte FortiCloud-Accounts und hat am 26. Januar zunächst die SSO-Funktion deaktiviert. Seit dem 27. Januar ist sie wieder aktiv, blockiert jedoch Logins von verwundbaren Versionen. Angreifer erstellten nach erfolgreicher Anmeldung lokale Admin-Konten mit Namen wie “audit”, “backup” oder “support” und luden Konfigurationsdateien herunter.

So erkennen Sie eine Betroffenheit: Prüfen Sie, ob Sie Fortinet-Produkte der Versionen 7.0 bis 7.6 einsetzen und ob FortiCloud SSO aktiviert ist (System > Settings > “Allow administrative login using FortiCloud SSO”). Kontrollieren Sie Ihre Admin-Konten auf unbekannte Einträge und durchsuchen Sie Log-Dateien nach verdächtigen IP-Adressen (insbesondere 104.28.x.x, 163.61.198.15) oder den bekannten Angreifer-Accounts.

Empfehlung: Aktualisieren Sie umgehend auf die gepatchten Versionen (FortiOS 7.6.6+, 7.4.11+; FortiManager/FortiAnalyzer 7.6.6+, 7.4.10+). Für ältere Versionen werden Updates vorbereitet. Die manuelle Deaktivierung von FortiCloud SSO ist derzeit nicht zwingend erforderlich, da Fortinet vulnerable Versionen serverseitig blockiert. Löschen Sie verdächtige Admin-Accounts sofort.

Quelle: https://fortiguard.fortinet.com/psirt/FG-IR-26-060

Related Posts

glob CLI erlaubt Command Injection über -c/--cmd-Option

Im npm-Paket glob wurde eine schwerwiegende Command-Injection-Schwachstelle in der Kommandozeilenoberfläche entdeckt. Betroffen sind die Versionen >= 10.2.0 bis < 10.5.0 sowie 11.0.x. Die Lücke ist unter CVE-2025-64756 registriert und wird mit hohem Schweregrad (CVSS 8.8) bewertet.

Read More

CVE-2026-20045: Cisco Unified Communications Produkte von Zero Day Schwachstelle betroffen

Eine äußerst kritische Sicherheitslücke wurde in mehreren Cisco Unified Communications-Produkten entdeckt und wird bereits aktiv in freier Wildbahn ausgenutzt. Die als CVE-2026-20045 bezeichnete Schwachstelle ermöglicht es Angreifern, ohne jegliche Authentifizierung vollständige Kontrolle über betroffene Systeme zu erlangen. Cisco hat dieser Schwachstelle einen CVSS-Score von 8.2 zugewiesen, stuft sie jedoch aufgrund der Möglichkeit zur Root-Rechte-Eskalation als kritisch ein. Das Cisco Product Security Incident Response Team bestätigt, dass die Lücke bereits für Angriffe missbraucht wird, was ein sofortiges Handeln aller Betreiber betroffener Systeme erforderlich macht.

Read More

Protobuf-Bibliothek anfällig für DoS durch JSON-Parsing-Fehler

In der Python-Implementierung der protobuf-Bibliothek (alle Versionen bis einschließlich 6.33.4) wurde eine Sicherheitslücke mit hohem Schweregrad entdeckt. Die Schwachstelle CVE-2026-0994 ermöglicht Denial-of-Service-Angriffe durch Umgehung der Rekursionstiefenbegrenzung beim JSON-Parsing.

Read More