Fortinetは火曜日、ゼロデイとして実際に悪用されていたFortiCloud SSOログインの認証バイパスに対する緊急パッチを公開した。
この悪用は先週明らかになった。Arctic Wolfが、FortiGateファイアウォールを標的に新しい管理者アカウントを作成し、設定ファイルを流出させる自動化された攻撃を観測したためだ。
Fortinetはほどなくして攻撃を確認し、12月上旬にパッチが提供された重大度クリティカルのFortiCloud SSOログインの不具合2件(CVE-2025-59718およびCVE-2025-59719)に対して完全にパッチ適用済みのデバイスが悪用されている件について調査していると述べた。
火曜日、FortinetはFortiOS、FortiManager、FortiAnalyzer向けに新たなパッチを公開し、攻撃者が新しいが関連するFortiCloud SSOの欠陥(現在はCVE-2026-24858として追跡、CVSSスコア9.4)を悪用していたことを明らかにした。
CVE-2026-24858は、別の経路またはチャネルの問題を利用した認証バイパスとして説明されており、先の2件の脆弱性と同様に、FortiCloud SSOが有効なデバイスに対して悪用可能だ。
この機能はデフォルトでは無効だが、管理者が明示的に無効化しない限り、デバイスのGUIから新しいデバイスを登録する際に有効化される。
Fortinetによれば、CVE-2026-24858により「FortiCloudアカウントと登録済みデバイスを持つ攻撃者が、他のアカウントに登録された別のデバイスにログインできる」ようになる。
同社は、今月初めに観測されたゼロデイ攻撃で使用された悪意あるFortiCloudアカウントをブロックしたこと、また1月26日から27日にかけてFortiCloud側でFortiCloud SSOを一時的に無効化したことを明らかにしている。
現在、FortiCloud SSOは脆弱なバージョンを実行しているデバイスからのログインをサポートしなくなっており、ユーザーがFortiCloud SSO認証を利用するには、新たに公開されたパッチを適用する必要がある。
修正はFortiAnalyzerバージョン7.4.10、FortiManagerバージョン7.4.10、FortiOSバージョン7.4.11に含まれている。
Fortinetは、これらのパッチがFortiAnalyzerバージョン7.6.6、7.2.12、7.0.16、FortiManagerバージョン7.6.6、7.2.13、7.0.16、FortiOSバージョン7.6.6、7.2.13、7.0.19、ならびにFortiProxyバージョン7.6.6および7.4.13にも含まれる予定だとしている。
また火曜日、米国のサイバーセキュリティ機関CISAはCVE-2026-24858を既知の悪用されている脆弱性(KEV)カタログに追加し、連邦機関に対して1月30日までにパッチを適用するよう促した。
翻訳元: https://www.securityweek.com/fortinet-patches-exploited-forticloud-sso-authentication-bypass/
