Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected

Sécurité Fortinet : Exploitation d’une faille d’authentification et correctifs

Une vulnérabilité critique affectant les systèmes FortiOS a été activement exploitée par des acteurs malveillants. Cette faille permettrait à un attaquant disposant d’un compte FortiCloud et d’un appareil enregistré de se connecter à d’autres appareils enregistrés sous d’autres comptes, si l’authentification FortiCloud SSO est activée.

Points Clés :

• La faille, identifiée comme CVE-2026-24858, concerne une dérogation d’authentification via un chemin ou un canal alternatif.
• Elle touche FortiOS, FortiManager et FortiAnalyzer. Fortinet enquête sur d’autres produits potentiellement affectés.
• La fonction de connexion SSO FortiCloud n’est pas activée par défaut et nécessite une configuration manuelle par un administrateur.
• Des acteurs inconnus ont déjà exploité cette vulnérabilité pour créer des comptes administrateurs locaux, obtenir un accès VPN et exfiltrer des configurations de pare-feu.
• Fortinet a pris des mesures pour bloquer les comptes malveillants et a publié des mises à jour de sécurité. La fonctionnalité SSO FortiCloud n’est pleinement fonctionnelle qu’avec les versions logicielles les plus récentes.
• La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues exploitées, imposant une remédiation aux agences fédérales américaines.

Vulnérabilité :

• CVE-2026-24858 (Score CVSS : 9.4) - Vulnérabilité d’authentification via un chemin ou un canal alternatif (CWE-288).

Recommandations :

• Mettre à jour les appareils avec la dernière version du firmware.
• Restaurer les configurations à partir d’une version saine connue ou auditer les modifications non autorisées.
• Changer les identifiants, y compris ceux des comptes LDAP/AD connectés aux appareils FortiGate.
• Les utilisateurs constatant des signes de compromission doivent considérer leurs appareils comme potentiellement piratés.

Source