Thought Leadership
Der Netzwerkausrüster Fortinet hat Notfall-Updates für eine Schwachstelle in der FortiCloud-Single-Sign-On-Funktion bereitgestellt, die Kriminelle bereits aktiv ausnutzen.
Angriffe trotz aktueller Patches
Vergangene Woche machte das IT-Sicherheitsunternehmen Arctic Wolf auf automatisierte Attacken aufmerksam, bei denen Angreifer Administrator-Konten anlegten und Konfigurationsdaten abgriffen. Betroffen waren dabei auch Systeme, die bereits die Anfang Dezember veröffentlichten Sicherheitsupdates für zwei kritische FortiCloud-SSO-Schwachstellen (CVE-2025-59718 und CVE-2025-59719) installiert hatten.
Fortinet bestätigte daraufhin Untersuchungen zu den Vorfällen. Nun stellte sich heraus: Die Angreifer nutzten eine weitere, bislang unbekannte Schwachstelle im selben System.
Authentifizierung über Alternativweg umgehbar
Die neue Sicherheitslücke trägt die Kennung CVE-2026-24858 und erreicht in der CVSS-Bewertung 9,4 von 10 Punkten. Fortinet klassifiziert sie als “Authentication Bypass using an Alternate Path or Channel”. Konkret können sich Angreifer, die über ein FortiCloud-Konto und ein registriertes Gerät verfügen, damit bei fremden Geräten anmelden, die anderen Konten zugeordnet sind.
Eine Schwachstelle bei der Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal [CWE-288] in FortiOS, FortiManager und FortiAnalyzer kann es einem Angreifer mit einem FortiCloud-Konto und einem registrierten Gerät ermöglichen, sich bei anderen Geräten anzumelden, die für andere Konten registriert sind, wenn die FortiCloud-SSO-Authentifizierung auf diesen Geräten aktiviert ist.
Voraussetzung ist, dass FortiCloud SSO auf dem Zielgerät aktiviert ist. Diese Funktion ist standardmäßig zwar deaktiviert, wird aber beim Registrieren eines neuen Geräts über die Weboberfläche automatisch eingeschaltet. Es sei denn, Administratoren deaktivieren sie explizit.
Updates verfügbar, alte Versionen ausgesperrt
Als Sofortmaßnahme sperrte Fortinet die bei den Angriffen verwendeten FortiCloud-Konten. Zwischen dem 26. und 27. Januar schaltete der Hersteller FortiCloud SSO zudem serverseitig kurzzeitig komplett ab.
Mittlerweile lässt FortiCloud SSO keine Anmeldungen von ungepatchten Geräten mehr zu. Administratoren müssen daher die neuen Versionen einspielen, um die Funktion weiter nutzen zu können. Verfügbar sind FortiOS 7.4.11, FortiManager 7.4.10 und FortiAnalyzer 7.4.10. Für weitere Versionszweige kündigte Fortinet entsprechende Updates an.
