Fortinetは、新たに確認された、現在も積極的に悪用されている重大なFortiCloudシングルサインオン(SSO)の認証バイパス脆弱性(CVE-2026-24858)について確認し、脆弱なファームウェアバージョンを実行しているデバイスからのFortiCloud SSO接続を遮断することで、ゼロデイ攻撃を緩和したと述べています。
この欠陥により、攻撃者はFortiCloud SSOを悪用して、他の顧客に登録されているFortiOS、FortiManager、FortiAnalyzerデバイスへの管理者アクセスを取得でき、これらのデバイスが以前に開示された脆弱性に対して完全にパッチ適用済みであっても影響を受けます。
この確認は、1月21日にFortinetの顧客が侵害されたFortiGateファイアウォールを報告した後に行われたもので、攻撃者は最新の利用可能なファームウェアを実行しているデバイス上でFortiCloud SSO経由で新しいローカル管理者アカウントを作成していました。
当初、攻撃はCVE-2025-59718(2025年12月にパッチが提供された、以前に悪用された重大なFortiCloud SSO認証バイパスの欠陥)に対するパッチ回避によるものだと考えられていました。
Fortinetの管理者は、ハッカーがメールアドレス[email protected]を使用してFortiCloud SSO経由でFortiGateデバイスにログインし、その後、新しいローカル管理者アカウントを作成していたと報告しました。
影響を受けた顧客が共有したログには、12月の悪用時に観測されたものと同様の指標が示されていました。
1月22日、サイバーセキュリティ企業のArctic Wolfが攻撃を確認し、攻撃は自動化されているように見え、数秒以内に新たな不正な管理者アカウントおよびVPN有効化アカウントが作成され、ファイアウォール設定が流出したと述べました。Arctic Wolfは、この攻撃は12月にCVE-2025-59718を悪用した以前のキャンペーンに似ているようだとしています。
Fortinet、別の攻撃経路を確認
1月23日、Fortinetは、完全にパッチ適用済みのシステムでも残っていた別の認証経路を攻撃者が悪用していたことを確認しました。
FortinetのCISOであるCarl Windsor氏は、最新ファームウェアを実行しているデバイスが侵害された事例を同社が観測しており、新たな攻撃経路が悪用されていることを示していると述べました。
Fortinetは、悪用はFortiCloud SSO経由でのみ確認されているとしつつも、この問題は他のSAMLベースのSSO実装にも適用されると警告しました。
「重要なのは、現時点ではFortiCloud SSOの悪用のみが観測されていますが、この問題はすべてのSAML SSO実装に適用されます」と、Fortinetは説明しています。
当時、Fortinetは緩和策として、顧客に対しデバイスへの管理者アクセスを制限し、FortiCloud SSOを無効化するよう助言しました。
アドバイザリによると、パッチの開発が進められている間、Fortinetは攻撃を緩和するための措置を講じたとしています。
- 1月22日、Fortinetは攻撃者に悪用されていたFortiCloudアカウントを無効化しました。
- 1月26日、Fortinetはさらなる悪用を防ぐため、FortiCloud側でFortiCloud SSOをグローバルに無効化しました。
- 1月27日、FortiCloud SSOアクセスは復旧しましたが、脆弱なファームウェアを実行しているデバイスがSSO経由で認証できないよう制限されました。
Fortinetによれば、このサーバー側の変更により、影響を受けたデバイスでFortiCloud SSOが有効のままであっても悪用は実質的に遮断されるため、パッチがリリースされるまでクライアント側で実施すべきことはありません。
1月27日、Fortinetはまた、この欠陥にCVE-2026-24858を割り当て、CVSSスコア9.4の重大(Critical)と評価した正式なPSIRTアドバイザリを公開しました。
この脆弱性は「別のパスまたはチャネルを使用した認証バイパス」であり、FortiCloud SSOにおける不適切なアクセス制御が原因です。
アドバイザリによると、FortiCloudアカウントと登録済みデバイスを持つ攻撃者は、FortiCloud SSOが有効になっている場合、他の顧客のデバイスに認証できる可能性があります。
FortiCloud SSOはデフォルトでは有効ではありませんが、Fortinetによれば、デバイスがFortiCareに登録されると自動的に有効になり、その後手動で無効化しない限りオンのままになります。
Fortinetは、この脆弱性が以下の2つの悪意あるFortiCloud SSOアカウントによって実環境で悪用されたことを確認しており、これらは1月22日にロックアウトされました。
[email protected]
[email protected]Fortinetによれば、デバイスが侵害されると、攻撃者は顧客の設定ファイルをダウンロードし、以下のいずれかの管理者アカウントを作成していました。
audit
backup
itadmin
secadmin
support
backupadmin
deploy
remoteadmin
security
svcadmin
system以下のIPアドレスからの接続が確認されました。
104.28.244.115
104.28.212.114
104.28.212.115
104.28.195.105
104.28.195.106
104.28.227.106
104.28.227.105
104.28.244.114
Fortinetではなく第三者が観測した追加IP:
37[.]1.209.19
217[.]119.139.50同社は、FortiOS、FortiManager、FortiAnalyzer向けを含め、パッチは現在も開発中だと述べています。
それまでの間、FortiCloud SSOは脆弱なデバイスからのログインを遮断しているため、管理者は悪用を防ぐためにこの機能を無効化する必要はありません。
ただし、Fortinetは、他のSAML SSO実装でも悪用される可能性があるため、管理者は当面、以下のコマンドでSSO機能を無効化したほうがよいかもしれないと述べました。
config system global
set admin-forticloud-sso-login disable
endFortinetはまた、FortiWebおよびFortiSwitch Managerがこの欠陥の影響を受けるかどうかについて、引き続き調査していると述べました。
同社は、ログ内で上記の侵害指標を検出した顧客は、デバイスが完全に侵害されたものとして扱うべきだと警告しています。
Fortinetは、すべての管理者アカウントを見直し、既知のクリーンなバックアップから設定を復元し、すべての認証情報をローテーションすることを推奨しています。
