关键认证绕过漏洞正遭活跃利用

CVE-2026-24858允许威胁行为者通过FortiCloud账户和已注册设备，在FortiCloud单点登录（SSO）功能启用时，认证进入其他组织的设备。
虽然该功能默认处于禁用状态，但管理员在FortiCare设备注册过程中经常会启用它，除非他们明确关闭”允许使用FortiCloud SSO进行管理登录”选项。
美国网络安全和基础设施安全局（CISA）于2026年1月27日将该漏洞添加到其已知被利用漏洞目录中，设定的修复截止日期为2026年1月30日，与本报告发布同日。

Fortinet于2026年1月22日确认了活跃利用情况，识别出两个恶意FortiCloud账户：cloud-noc@mail.io和cloud-init@mail.io，这些账户应对攻击负责。
威胁行为者利用该漏洞下载设备配置并建立持久性访问。他们创建了使用常见名称的本地管理员账户，如”audit”、”backup”、”itadmin”、”secadmin”、”support”、”svcadmin”或”system”。
作为应对措施，Fortinet于2026年1月26日临时禁用了FortiCloud SSO功能，并在次日重新启用时添加了基于版本的限制，阻止存在漏洞的设备进行认证。
该漏洞影响Fortinet企业安全产品组合中的广泛版本。FortiOS 7.6.0至7.6.5、7.4.0至7.4.10、7.2.0至7.2.12以及7.0.0至7.0.18版本需要立即打补丁。
FortiManager和FortiAnalyzer存在类似的受影响版本范围，而FortiProxy和FortiWeb则在多个主要版本中存在风险。FortiSwitch Manager目前仍在调查中。
目前已有针对特定分支的补丁可用：FortiOS需要升级至7.4.11或7.6.6版本，FortiManager需要7.4.10或7.6.6版本，FortiAnalyzer则需要7.2.12或7.0.16版本。
根据Censys的建议，无法立即打补丁的组织应禁用FortiCloud SSO功能，并检查所有管理员账户是否存在与攻击者创建账户命名模式匹配的未授权用户。

参考来源：

3,280,081 Fortinet Devices Online With Exposed Web Properties Under Risk

https://cybersecuritynews.com/fortinet-devices-exposed-web-properties/