Fortinet schließt kritische Sicherheitslücke CVE-2026-24858 nach aktiver Ausnutzung

Eine neu entdeckte Schwachstelle in der FortiCloud-Infrastruktur hat Angreifern den Zugang zu Firewall-Systemen verschiedener Organisationen ermöglicht. Fortinet reagierte mit der vorübergehenden Abschaltung der Single-Sign-On-Funktionalität und veröffentlichte Handlungsempfehlungen für betroffene Nutzer.

Die Schwachstelle CVE-2026-24858 betrifft mehrere Produkte des Netzwerksicherheitsanbieters Fortinet. Über eine Umgehung der Authentifizierung können sich Angreifer mit einem gültigen FortiCloud-Konto bei Systemen anmelden, die anderen Nutzern zugeordnet sind. Voraussetzung ist lediglich, dass die FortiCloud Single-Sign-On-Funktion auf den Zielsystemen aktiviert wurde.

Betroffen sind FortiOS, FortiManager, FortiWeb, FortiProxy und FortiAnalyzer in verschiedenen Versionen. Die Sicherheitslücke wird als CWE-288 klassifiziert und erlaubt die Umgehung der Authentifizierung über alternative Zugangswege.

Patches für frühere Lücken boten keinen Schutz

Administratoren, die ihre Systeme bereits gegen die zuvor bekannt gewordenen Schwachstellen CVE-2025-59718 und CVE-2025-59719 abgesichert hatten, blieben weiterhin angreifbar. Diese beiden Lücken ermöglichten ebenfalls die Umgehung der SSO-Authentifizierung durch manipulierte SAML-Nachrichten, betrafen jedoch andere technische Schwachpunkte.

Nach Angaben des Herstellers wurden auf vollständig aktualisierten Systemen folgende Aktivitäten von Angreifern dokumentiert: nicht autorisierte Änderungen an Firewall-Konfigurationen, Erstellung neuer Administratorkonten sowie Modifikationen an VPN-Einstellungen zur Gewährung von Zugangsrechten für die kompromittierten Konten.

Temporäre Abschaltung der SSO-Funktion

Fortinet deaktivierte am 26. Januar 2026 die gesamte FortiCloud-SSO-Authentifizierung, (siehe auch)um weitere Angriffe zu verhindern. Einen Tag später wurde der Dienst mit serverseitigen Änderungen wieder aktiviert, die eine Anmeldung von Geräten mit anfälligen Softwareversionen blockieren. Die US-Behörde CISA nahm die Schwachstelle am 27. Januar in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf.

Empfohlene Maßnahmen für Administratoren

Die CISA fordert alle Nutzer der betroffenen Produkte mit Internetzugang auf, ihre Systeme auf Kompromittierungsmerkmale zu prüfen. Updates sollten unmittelbar nach Verfügbarkeit installiert werden. Fortinet stellt entsprechende Patches für alle betroffenen Produktversionen bereit.

Administratoren sollten ihre Systeme auf die Präsenz verdächtiger Konten überprüfen. Die Angreifer erstellten lokale Administratorkonten mit Bezeichnungen wie „audit“, „backup“, „itadmin“, „secadmin“ oder „support“. Die genutzten Anmeldenamen waren cloud-noc@mail.io und cloud-init@mail.io, wobei Fortinet darauf hinweist, dass sich diese in Zukunft ändern können.

Technische Details zur Schwachstelle

Die FortiCloud-SSO-Anmeldung ist in den Werkseinstellungen nicht aktiviert. Die Funktion wird jedoch automatisch aktiviert, wenn Administratoren ihr Gerät über die Benutzeroberfläche bei FortiCare registrieren. Dies geschieht, sofern der entsprechende Schalter nicht manuell deaktiviert wird.

Zwei FortiCloud-Konten wurden als Urheber der Angriffe identifiziert und am 22. Januar gesperrt. Die Angreifer nutzten mehrere IP-Adressen, darunter auch über Cloudflare geschützte Adressen im Bereich 104.28.x.x. Zusätzlich wurden von Drittquellen weitere IP-Adressen aus den Bereichen 37.1.x.x und 217.119.x.x gemeldet.

Betroffene Produktversionen im Detail

FortiOS ist in den Versionen 7.6.0 bis 7.6.5, 7.4.0 bis 7.4.10, 7.2.0 bis 7.2.12 sowie 7.0.0 bis 7.0.18 betroffen. Bei FortiManager und FortiAnalyzer sind die Versionen 7.6.0 bis 7.6.5, 7.4.0 bis 7.4.9, 7.2.0 bis 7.2.11 und 7.0.0 bis 7.0.15 anfällig.

FortiProxy weist Schwachstellen in den Versionen 7.6.0 bis 7.6.4, 7.4.0 bis 7.4.12 sowie allen Versionen der Zweige 7.2 und 7.0 auf. FortiWeb ist in den Versionen 8.0.0 bis 8.0.3, 7.6.0 bis 7.6.6 und 7.4.0 bis 7.4.11 verwundbar. FortiManager Cloud, FortiAnalyzer Cloud und FortiGate Cloud sind nicht betroffen.

Systeme, die einen benutzerdefinierten Identity Provider anstelle von FortiCloud für SSO nutzen, sind ebenfalls nicht betroffen. Dies gilt auch für Konfigurationen mit FortiAuthenticator als benutzerdefiniertem IdP. Die Untersuchung zu FortiSwitch Manager dauert noch an.

Deaktivierung der SSO-Funktion optional

Da die FortiCloud-Infrastruktur serverseitig so angepasst wurde, dass anfällige Geräte keine Verbindung mehr herstellen können, ist eine manuelle Deaktivierung der SSO-Funktion nicht zwingend erforderlich. Administratoren können die Funktion dennoch über die Systemeinstellungen oder Kommandozeile deaktivieren.

Für FortiOS und FortiProxy erfolgt dies über System → Einstellungen durch Deaktivierung der Option „Administrative Anmeldung mit FortiCloud SSO zulassen“. Alternativ kann der Befehl „set admin-forticloud-sso-login disable“ in der Konfiguration verwendet werden.

Bei FortiManager und FortiAnalyzer findet sich die entsprechende Einstellung unter Systemeinstellungen → SAML SSO. Der Schalter „Administratoren die Anmeldung mit FortiCloud erlauben“ sollte auf „Aus“ gesetzt werden. Per CLI lautet der Befehl „set forticloud-sso disable“.

Referenzen