Vulnérabilités et Alertes

Fortinet publie des correctifs suite à l’exploitation active de CVE-2026-24858

by  • 

Contexte

La CISA a publiée le 28 janvier 2026 une alerte concernant l’exploitation active de la vulnérabilité CVE-2026-24858 affectant plusieurs produits Fortinet. Cette faille a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 27 janvier 2026. Fortinet a publié des correctifs et des recommandations pour remédier à cette vulnérabilité critique de contournement d’authentification.

Description technique de la vulnérabilité

CVE-2026-24858 est une vulnérabilité de contournement d’authentification utilisant un chemin ou canal alternatif (CWE-288). Elle affecte FortiOS, FortiManager, FortiAnalyzer et FortiProxy. Le score CVSS v3 attribué est de 9.4 (critique).

La vulnérabilité permet à un attaquant disposant d’un compte FortiCloud et d’un appareil enregistré de se connecter à d’autres appareils enregistrés sur d’autres comptes utilisateurs, si l’authentification SSO FortiCloud est activée sur ces appareils.

La fonctionnalité de connexion SSO FortiCloud n’est pas activée par défaut dans les paramètres d’usine. Cependant, lorsqu’un administrateur enregistre l’appareil sur FortiCare depuis l’interface graphique de l’appareil, sauf si l’administrateur désactive le bouton « Allow administrative login using FortiCloud SSO » dans la page d’enregistrement, la connexion SSO FortiCloud est activée lors de l’enregistrement.

Chronologie des événements

  • 20 janvier 2026 : Plusieurs clients Fortinet signalent des compromissions de pare-feu FortiGate avec création de comptes administrateurs locaux non autorisés, malgré l’application des dernières versions de FortiOS incluant les correctifs pour CVE-2025-59718
  • 22 janvier 2026 : Fortinet bloque deux comptes FortiCloud malveillants identifiés comme responsables des exploitations
  • 26 janvier 2026 : Fortinet désactive l’authentification SSO FortiCloud côté cloud pour atténuer CVE-2026-24858
  • 27 janvier 2026 : Fortinet réactive le service avec des modifications empêchant l’exploitation des appareils vulnérables et publie l’avis de sécurité PSIRT FG-IR-26-060. La CISA ajoute CVE-2026-24858 au catalogue KEV
  • 28 janvier 2026 : Publication de l’alerte CISA avec recommandations de remédiation

Relation avec les vulnérabilités précédentes

CVE-2026-24858 constitue une vulnérabilité distincte des failles précédemment corrigées CVE-2025-59718 et CVE-2025-59719 (CWE-347: Improper Verification of Cryptographic Signature). Ces dernières affectaient FortiOS, FortiWeb, FortiProxy et FortiSwitch Manager et permettaient aux acteurs malveillants de contourner l’authentification SSO via un message SAML spécialement conçu.

Les appareils compromis avaient été entièrement mis à niveau vers les dernières versions corrigeant CVE-2025-59718 et CVE-2025-59719 au moment de l’exploitation de CVE-2026-24858.

Activité malveillante observée

Fortinet a documenté les activités malveillantes suivantes sur les appareils FortiGate pleinement mis à jour :

  • Modifications non autorisées de configuration de pare-feu
  • Création non autorisée de comptes administrateurs locaux
  • Modifications non autorisées de configuration VPN pour accorder l’accès aux nouveaux comptes

Les comptes administrateurs créés par les attaquants incluaient les noms suivants :

  • audit
  • backup
  • itadmin
  • secadmin
  • support
  • backupadmin
  • deploy
  • remoteadmin
  • security
  • svc

Les deux comptes FortiCloud malveillants identifiés responsables de l’exploitation ont été bloqués le 22 janvier 2026.

Produits affectés

Les produits suivants sont affectés par CVE-2026-24858 :

  • FortiOS
  • FortiManager
  • FortiAnalyzer
  • FortiProxy

La vulnérabilité affecte uniquement les appareils ayant l’authentification SSO FortiCloud activée.

Versions corrigées

Fortinet a commencé à publier les versions corrigées. FortiOS 7.4.11 corrige la vulnérabilité. D’autres versions pour FortiOS, FortiManager et FortiAnalyzer sont en cours de publication.

Mesures de remédiation

La CISA recommande aux utilisateurs les actions suivantes :

  1. Vérifier les indicateurs de compromission sur tous les produits Fortinet accessibles depuis Internet affectés par cette vulnérabilité
  2. Appliquer immédiatement les mises à jour dès qu’elles sont disponibles en utilisant les instructions de Fortinet

Fortinet recommande fortement aux clients de mettre à niveau leurs appareils vers les versions corrigées dès qu’elles sont disponibles. La désactivation de la connexion SSO FortiCloud côté client n’est pas nécessaire car Fortinet a déployé un correctif dans l’environnement cloud empêchant les connexions depuis les appareils exécutant des versions vulnérables.

Pour les organisations souhaitant néanmoins désactiver la fonctionnalité SSO FortiCloud localement, la procédure est la suivante :

  • Via l’interface graphique : System > Settings, désactiver le bouton « Allow administrative login using FortiCloud SSO »
  • Via CLI : utiliser la commande appropriée documentée dans l’avis de sécurité

Directive BOD 22-01

La directive opérationnelle contraignante (BOD) 22-01 établit le catalogue KEV comme une liste active des CVE connues qui présentent un risque significatif pour l’entreprise fédérale. BOD 22-01 exige des agences de la branche exécutive civile fédérale (FCEB) qu’elles remédient aux vulnérabilités identifiées avant la date d’échéance pour protéger les réseaux FCEB contre les menaces actives.

La date limite de remédiation pour les agences FCEB est fixée au 30 janvier 2026.

Bien que BOD 22-01 ne s’applique qu’aux agences FCEB, la CISA recommande fortement à toutes les organisations de réduire leur exposition aux cyberattaques en priorisant la remédiation rapide des vulnérabilités du catalogue KEV dans le cadre de leurs pratiques de gestion des vulnérabilités.

Enjoy !

Références