Fortinetは、FortiCloudシングルサインオン(SSO)機能における認証バイパス脆弱性について、実環境で積極的に悪用されているとして緊急のセキュリティアドバイザリを発表しました。
CVE-2026-24858として追跡されているこの欠陥は、FortiOS、FortiManager、FortiAnalyzer、FortiProxyを含む複数のFortinet製品に影響します。
この脆弱性は、代替のパスまたはチャネルを用いた認証バイパス(CWE-288)に起因します。
これにより、FortiCloudアカウントと登録済みデバイスを持つ攻撃者が、対象デバイス側でFortiCloud SSO認証が有効になっている場合、別アカウント配下で登録された他のデバイスへ不正アクセスできる可能性があります。
FortiCloud SSOは工場出荷時設定ではデフォルトで有効ではありませんが、管理者がデバイスのグラフィカルユーザーインターフェースからFortiCareにデバイスを登録すると有効化されます。
登録時に「Allow administrative login using FortiCloud SSO」のトグルを管理者が明示的にオフにしない限り、SSO機能は有効のままとなり、潜在的な攻撃ベクトルを生み出します。
Fortinetは、この脆弱性が2つの悪意あるFortiCloudアカウントによって積極的に悪用されていることを確認しました。同社は迅速に対応し、2026年1月22日に不審なアカウントをロックアウトしました。
さらなる悪用から顧客を保護するため、Fortinetは2026年1月26日にFortiCloud側で一時的にFortiCloud SSOを無効化しました。サービスは、強化されたセキュリティ対策を適用したうえで2026年1月27日に復旧しました。
再有効化されたFortiCloud SSOは、脆弱なバージョンを実行しているデバイスからのログイン試行をサポートしなくなり、組織がSSO機能を復旧するには修正済みバージョンへアップグレードすることが事実上必須となります。
この脆弱性は複数のFortinet製品ラインに影響します。FortiOSは、バージョン7.0.0〜7.0.18、7.2.0〜7.2.12、7.4.0〜7.4.10、7.6.0〜7.6.5が影響を受けます。
FortiManagerおよびFortiAnalyzerも、7.0、7.2、7.4、7.6各ブランチで同様のバージョン影響を受けます。FortiProxyのバージョン7.0〜7.6.4も脆弱です。なお、FortiOS 8.0および、影響を受けるすべての製品におけるバージョン6.4は影響を受けません。
Fortinetは複数バージョン向けにパッチを公開しており、FortiOS 7.4.11、FortiManager 7.4.10、FortiAnalyzer 7.4.10へのアップグレードパスが提供されています。他の影響バージョン向けの追加パッチも今後提供される予定です。
同社は、Fortiguardの報告によれば、docs.fortinet.com/upgrade-tool にあるアップグレードツールを使用して推奨されるアップグレードパスに従うよう顧客に助言しています。
脅威アクターは、悪用の過程で高度な手口を示しました。SSO認証に成功した後、攻撃者は正規のシステムアカウントに紛れ込むよう設計された名称でローカル管理者アカウントを作成しました。
確認されたアカウント名には、「audit」「backup」「itadmin」「secadmin」「support」「deploy」「remoteadmin」「svcadmin」が含まれます。
攻撃者の主な目的には、顧客の設定ファイルのダウンロードと、管理者アカウントの作成による永続的アクセスの確立が含まれていました。
脅威アクターは複数のIPアドレスを使用し、活動を隠蔽するためにCloudflareで保護されたインフラへ切り替えました。
組織は直ちに、Fortinetデバイスに不正な管理者アカウントが存在しないか確認し、列挙されたIPアドレスからの接続についてログを点検し、修正済みバージョンへのアップグレードを最優先すべきです。
FortiCloud SSOはサーバー側で保護されていますが、追加の予防策として、管理者はシステム設定またはCLIコマンドでこの機能を手動でオフにできます。
翻訳元: https://cyberpress.org/fortinet-actively-exploited-forticloud-sso-vulnerability-cve-2026-24858/