Fortinet вновь столкнулась с проблемами безопасности: обнаружена критическая уязвимость обхода аутентификации (CVE-2026-24858) в FortiCloud SSO. Администраторам, использующим FortiOS, FortiManager и FortiAnalyzer, необходимо срочно обновиться, пока компания работает над полным набором исправлений.
Для клиентов Fortinet всё ещё не всё кончено: компания раскрыла ещё одну критическую уязвимость в FortiCloud SSO.
Те, кто надеялся на передышку после прошлой недели с её патч-пантомимой, остаются ни с чем. После того как пользователи сообщили об успешных компрометациях учётных записей FortiCloud SSO, несмотря на установку исправлений от предыдущей уязвимости, вендор подтвердил наличие альтернативного пути атаки.
Согласно рекомендациям по безопасности, опубликованным во вторник, этому альтернативному пути присвоен отдельный идентификатор уязвимости (CVE-2026-24858, CVSS 9.4), и компания временно отключила подключения FortiCloud SSO, инициированные с уязвимых версий. Патчи пока не готовы.
Fortinet подтвердила, что уязвимость обхода аутентификации CVE-2026-24858 была использована в реальных атаках двумя вредоносными учётными записями FortiCloud, однако они были заблокированы по состоянию на 22 января.
Затронуты клиенты, использующие FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Им следует обновиться до версии, рекомендованной в уведомлении, чтобы восстановить сервисы FortiCloud SSO. Для некоторых версий уже доступны безопасные релизы, хотя для большинства исправления всё ещё находятся в разработке.
Уязвимость продуктов FortiWeb и FortiSwitch Manager в отношении этих угроз всё ещё исследуется.
Первоначальные атаки были впервые замечены Arctic Wolf около 15 января, и, по всей видимости, они были связаны с двумя ошибками, которые Fortinet устранила в декабре: CVE-2025-59718 и CVE-2025-59719.
Уязвимости позволяли злоумышленникам обойти проверки SSO с помощью специально сформированных SAML-ответов, и наблюдаемые атаки, похоже, использовали CVE-2025-59718 для компрометации межсетевых экранов.
22 января Fortinet подтвердила, что атаки действительно обходят декабрьский патч, эксплуатируя FortiCloud SSO, но делают это иными путями. Патч был эффективен против одного вектора атаки, но не против этого отдельного.
Карл Уиндзор, технический директор по информационной безопасности Fortinet, тогда предупреждал, что хотя известные компании атаки были нацелены только на FortiCloud SSO, уязвимыми оставались все реализации SSO на базе SAML.
В последнем уведомлении говорится, что уязвимость обхода аутентификации может быть использована злоумышленником при соблюдении определённых условий.
“Обход аутентификации с использованием альтернативного пути или канала в FortiOS, FortiManager, FortiAnalyzer может позволить злоумышленнику, имеющему учётную запись FortiCloud и зарегистрированное устройство, войти в другие устройства, зарегистрированные на другие учётные записи, если для этих устройств включена аутентификация FortiCloud SSO.”
“Обратите внимание, что функция входа через FortiCloud SSO не активирована в стандартных заводских настройках. Однако, когда администратор регистрирует устройство в FortiCare через графический интерфейс устройства, если администратор не отключает переключатель ‘Разрешить административный вход с использованием FortiCloud SSO’ на странице регистрации, вход через FortiCloud SSO включается при регистрации.” ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones