CISA a ajouté la faille à son catalogue KEV, Fortinet avertissant que les correctifs pour les versions les plus concernées restent « à venir », même si les appareils vulnérables ne peuvent plus utiliser le cloud SSO jusqu’à leur mise à niveau.
Fortinet a révélé une vulnérabilité critique de contournement de l’authentification Zero Day affectant sa fonctionnalité d’authentification unique FortiCloud après que la société a pris la mesure d’urgence consistant à désactiver temporairement le service d’authentification cloud à l’échelle mondiale pour arrêter l’exploitation active.
L’Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté le même jour la vulnérabilité à son catalogue de vulnérabilités exploitées connues.
La vulnérabilité, identifiée comme CVE-2026-24858, est la deuxième faille critique de FortiCloud SSO que Fortinet a corrigée ces dernières semaines. La société a corrigé deux vulnérabilités similaires de contournement d’authentification, CVE-2025-59718 et CVE-2025-59719, en décembre.
CVE-2026-24858 a permis aux attaquants de compromettre les pare-feu FortiGate, les appareils FortiManager et FortiAnalyzer même lorsque ces systèmes exécutaient le dernier micrologiciel disponible. Les clients ont signalé pour la première fois des violations les 20 et 21 janvier, les attaquants créant de nouveaux comptes d’administrateur local sur des appareils entièrement corrigés, a indiqué Fortinet dans son avis.
Fortinet a commencé à publier des correctifs pour les produits concernés, mais la plupart des versions corrigées sont toujours répertoriées comme « à venir » dans l’avis de la société. La société a publié FortiOS 7.4.11 pour remédier à la vulnérabilité, et des versions corrigées supplémentaires sont attendues sous peu.
« Cette vulnérabilité a été exploitée par deux comptes FortiCloud malveillants, qui ont été verrouillés le 22 janvier », ajoute l’avis.
Comment fonctionne la vulnérabilité
CVE-2026-24858 est « un contournement d’authentification utilisant une vulnérabilité de chemin ou de canal alternatif » affectant FortiOS, FortiManager et FortiAnalyzer, selon l’avis de Fortinet. La faille porte un score CVSS de 9,4.
La vulnérabilité « peut permettre à un attaquant disposant d’un compte FortiCloud et d’un appareil enregistré de se connecter à d’autres appareils enregistrés sur d’autres comptes, si l’authentification FortiCloud SSO est activée sur ces appareils », a déclaré Fortinet dans l’avis.
Bien que FortiCloud SSO ne soit pas activé dans les paramètres d’usine par défaut, il s’active automatiquement lorsque les administrateurs enregistrent des appareils sur FortiCare via l’interface graphique, à moins qu’ils ne désactivent manuellement l’option « Autoriser la connexion administrative à l’aide de FortiCloud SSO » lors de l’enregistrement.
Fortinet a noté que même si l’exploitation n’a été observée que via FortiCloud SSO, « ce problème s’applique à toutes les implémentations SAML SSO ».
Détails et indicateurs de l’attaque
L’enquête de Fortinet sur l’exploitation a révélé que les attaquants utilisaient deux comptes FortiCloud spécifiques : « cloud-noc@mail.io » et « cloud-init@mail.io », bien que la société ait averti que « ces adresses pourraient changer à l’avenir ».
Fortinet a identifié plusieurs adresses IP associées aux attaques, dont plusieurs adresses protégées par Cloudflare que les attaquants ont utilisées pour masquer leurs activités.
« Après l’authentification via SSO, il a été observé que l’acteur crée un compte d’administrateur local avec l’un des noms suivants », a prévenu Fortinet, énumérant les comptes comprenant « audit », « sauvegarde », « itadmin », « secadmin », « support » et « système ».
Les principales opérations des attaquants se sont concentrées sur le téléchargement de fichiers de configuration client et la création de comptes administrateur persistants.
Arrêt d’urgence côté cloud
En réponse à cette exploitation active, Fortinet a désactivé FortiCloud SSO sur l’ensemble de son infrastructure cloud le 26 janvier afin de protéger ses clients contre de nouvelles attaques.
La fonctionnalité a été réactivée 24 heures plus tard avec une protection critique. « Il a été réactivé le 27 janvier et ne prend plus en charge la connexion à partir d’appareils exécutant des versions vulnérables. Par conséquent, les clients doivent mettre à niveau vers les dernières versions répertoriées ci-dessous pour que l’authentification FortiCloud SSO fonctionne », a expliqué Fortinet.
Ce blocage côté serveur signifie que les organisations exécutant des versions vulnérables ne peuvent pas utiliser FortiCloud SSO tant qu’elles n’ont pas mis à niveau vers des versions corrigées, même si la plupart de ces correctifs ne sont pas encore disponibles.
Produits concernés et état des correctifs
La vulnérabilité affecte FortiOS, FortiManager, FortiAnalyzer et FortiProxy versions 7.0 à 7.6. Les versions 6.4 ne sont pas affectées. Fortinet a déclaré qu’il étudiait toujours pour savoir si FortiWeb et FortiSwitch Manager étaient également vulnérables.
L’avis de Fortinet répertorie la plupart des versions corrigées comme étant « à venir », FortiOS 7.4.11 semblant être le seul correctif publié à ce jour. L’outil de mise à niveau de la société fournit des chemins de mise à niveau recommandés une fois que les correctifs sont disponibles.
Date limite fédérale et actions immédiates
L’ajout par CISA du CVE-2026-24858 au catalogue KEV signifie que les agences exécutives civiles fédérales doivent mettre à jour les systèmes concernés avant le 17 février 2026 ou cesser d’utiliser les produits vulnérables. L’agence a déclaré que la vulnérabilité « est un vecteur d’attaque fréquent pour les cyber-acteurs malveillants et présente des risques importants pour l’entreprise fédérale ».
La société a noté que « la désactivation de la connexion FortiCloud SSO côté client n’est pas nécessaire pour le moment », bien que les organisations puissent désactiver la fonctionnalité localement via les paramètres système ou les commandes CLI si elles le souhaitent.
