Fortinet blocks exploited FortiCloud SSO zero day until patch is ready

Contournement FortiCloud SSO : Fortinet déploie des mesures face à une faille critique

Une vulnérabilité critique de contournement d’authentification dans FortiCloud Single Sign-On (SSO), identifiée sous la référence CVE-2026-24858, a été activement exploitée. Cette faille permettait à des attaquants d’obtenir un accès administratif aux appareils FortiOS, FortiManager et FortiAnalyzer, même s’ils étaient censés être protégés contre une vulnérabilité antérieure.

Les attaques ont été signalées par des clients Fortinet, qui ont constaté la création de nouveaux comptes administrateurs locaux via FortiCloud SSO sur des appareils pourtant à jour. L’exploitation initiale a été attribuée à un chemin d’attaque alternatif non entièrement corrigé, même après le déploiement de correctifs pour la vulnérabilité CVE-2025-59718.

Fortinet a confirmé l’existence de cette nouvelle voie d’attaque et a pris des mesures immédiates pour bloquer les tentatives d’exploitation sur le cloud.

Points Clés :

• Nature de la faille : Contournement d’authentification via un chemin ou un canal alternatif (Authentication Bypass Using an Alternate Path or Channel).
• Impact : Accès administratif non autorisé aux appareils Fortinet enregistrés auprès d’autres clients.
• Cible : FortiOS, FortiManager, FortiAnalyzer.
• Mécanisme d’exploitation : Abus de la fonction FortiCloud SSO.
• Détection : Des indices dans les journaux, notamment l’utilisation des adresses e-mail cloud-noc@mail.io et cloud-init@mail.io.
• Vitesse d’attaque : Automatisation rapide de la création de comptes et de l’exfiltration de configurations.
• Portée potentielle : Le problème est applicable à toutes les implémentations SSO basées sur SAML, bien que seule l’exploitation de FortiCloud SSO ait été observée pour le moment.

Vulnérabilités :

• CVE-2026-24858 : Contournement d’authentification via un chemin ou un canal alternatif (CVSS 9.4 - Critique).
• Précédemment exploitée et corrigée : CVE-2025-59718 (Contournement d’authentification FortiCloud SSO).

Recommandations :

• Mesures immédiates par Fortinet :
  • Blocage des comptes FortiCloud utilisés par les attaquants (22 janvier).
  • Désactivation globale de FortiCloud SSO côté FortiCloud pour prévenir l’abus (26 janvier).
  • Restauration de FortiCloud SSO avec restriction, empêchant l’authentification depuis des firmwares vulnérables (27 janvier).
  • La modification côté serveur bloque l’exploitation sans action côté client en attendant les correctifs.
• Actions recommandées pour les administrateurs :
  • En attendant les correctifs : FortiCloud SSO bloque déjà les connexions des appareils vulnérables.
  • Pour les implémentations SAML SSO autres que FortiCloud SSO : Fortinet recommande de désactiver la fonction SSO temporairement via la commande :

    config system global
        set admin-forticloud-sso-login disable
    end
    

  • En cas de détection des indicateurs de compromission : Considérer les appareils comme entièrement compromis.
  • Actions recommandées en cas de compromission :
    • Examiner tous les comptes administrateurs.
    • Restaurer les configurations à partir de sauvegardes fiables.
    • Remplacer tous les identifiants.
• Correctifs en développement : Des correctifs sont en cours de développement pour FortiOS, FortiManager et FortiAnalyzer. Fortinet enquête également sur l’impact potentiel sur FortiWeb et FortiSwitch Manager.

Source