Fortinetが、影響を受ける大半のバージョン向けパッチは「近日提供予定」のままだと警告する中、CISAはこの欠陥をKEVカタログに追加した。脆弱なデバイスはアップグレードするまでクラウドSSOを利用できない。
Fortinetは、同社が進行中の悪用を阻止するため、クラウド認証サービスを世界的に一時停止するという緊急措置を取った後、FortiCloudのシングルサインオン機能に影響する重大な認証バイパスのゼロデイ脆弱性を公表した。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は同日、この脆弱性を既知の悪用されている脆弱性(Known Exploited Vulnerabilities)カタログに追加した。
CVE-2026-24858として追跡されているこの脆弱性は、Fortinetがここ数週間で対処した2件目の重大なFortiCloud SSOの欠陥だ。同社は12月に、CVE-2025-59718およびCVE-2025-59719という2つの類似の認証バイパス脆弱性を修正した。
CVE-2026-24858により、システムが入手可能な最新ファームウェアを実行している場合でも、攻撃者はFortiGateファイアウォール、FortiManager、FortiAnalyzerデバイスを侵害できた。顧客は1月20日と21日に最初の侵害を報告し、攻撃者が完全にパッチ適用済みのデバイス上で新しいローカル管理者アカウントを作成していたと、Fortinetはアドバイザリで述べた。
Fortinetは影響を受ける製品向けのパッチ提供を開始したが、修正版の大半は同社アドバイザリで依然として「近日提供予定」と記載されている。同社はこの脆弱性に対処するためFortiOS 7.4.11をリリースし、追加の修正版もまもなく提供される見込みだ。
アドバイザリは「この脆弱性は、2つの悪意あるFortiCloudアカウントによって実環境で悪用されていることが確認され、これらは1月22日にロックアウトされた」と付け加えた。
脆弱性の仕組み
Fortinetのアドバイザリによると、CVE-2026-24858はFortiOS、FortiManager、FortiAnalyzerに影響する「代替パスまたはチャネルを用いた認証バイパスの脆弱性」だ。この欠陥のCVSSスコアは9.4である。
Fortinetはアドバイザリで、この脆弱性により「FortiCloudアカウントと登録済みデバイスを持つ攻撃者が、FortiCloud SSO認証が有効になっている場合、他のアカウントに登録された別のデバイスにログインできる可能性がある」と述べた。
FortiCloud SSOは工場出荷時のデフォルト設定では有効になっていないが、管理者がGUIからデバイスをFortiCareに登録する際、「FortiCloud SSOを使用した管理者ログインを許可」トグルを登録中に手動で無効化しない限り、自動的に有効化される。
Fortinetは、悪用はFortiCloud SSO経由でのみ観測されている一方で、「この問題はすべてのSAML SSO実装に当てはまる」と指摘した。
攻撃の詳細と指標
悪用に関するFortinetの調査により、攻撃者が「[email protected]」と「[email protected]」という2つの特定のFortiCloudアカウントを使用していたことが判明したが、同社は「これらのアドレスは将来変更される可能性がある」と警告した。
Fortinetは、攻撃に関連する複数のIPアドレスを特定しており、その中には攻撃者が活動を隠蔽するために使用したCloudflare保護下のアドレスも複数含まれている。
Fortinetは「SSOによる認証後、攻撃者が次のいずれかの名前でローカル管理者アカウントを作成することが観測されている」と警告し、「audit」「backup」「itadmin」「secadmin」「support」「system」などのアカウントを列挙した。
攻撃者の主な活動は、顧客の設定ファイルのダウンロードと、永続的な管理者アカウントの作成に集中していた。
クラウド側の緊急停止
進行中の悪用に対応して、Fortinetはさらなる攻撃から顧客を保護するため、1月26日にクラウドインフラ全体でFortiCloud SSOを無効化した。
この機能は24時間後、重要な保護策を伴って再有効化された。Fortinetは「1月27日に再有効化され、脆弱なバージョンを実行しているデバイスからのログインはサポートしなくなった。したがって、FortiCloud SSO認証を機能させるには、顧客は以下に記載の最新バージョンへアップグレードする必要がある」と説明した。
このサーバー側のブロックにより、脆弱なバージョンを運用している組織は、修正リリースへアップグレードするまでFortiCloud SSOを利用できない。しかも、それらのパッチの大半はまだ提供されていない。
影響を受ける製品とパッチ状況
この脆弱性は、FortiOS、FortiManager、FortiAnalyzer、FortiProxyのバージョン7.0から7.6に影響する。バージョン6.4系リリースは影響を受けない。Fortinetは、FortiWebとFortiSwitch Managerも脆弱かどうか引き続き調査中だと述べた。
Fortinetのアドバイザリでは、パッチ適用済みバージョンの大半が「近日提供予定」とされており、現時点でリリース済みの修正はFortiOS 7.4.11のみのようだ。同社のアップグレードツールは、パッチが利用可能になり次第、推奨されるアップグレード経路を提示する。
CISAによる追加により、CVE-2026-24858がKEVカタログに掲載されたことは、連邦政府の民間行政機関が2026年2月17日までに影響を受けるシステムへパッチを適用するか、脆弱な製品の使用を中止しなければならないことを意味する。同庁は、この脆弱性が「悪意あるサイバー攻撃者にとって頻繁に用いられる攻撃ベクトルであり、連邦政府全体に重大なリスクをもたらす」と述べた。
同社は「現時点では、クライアント側でFortiCloud SSOログインを無効化する必要はない」としつつ、必要に応じて組織はシステム設定またはCLIコマンドでローカルにこの機能を無効化できると述べた。
