La vulnérabilité zero-day CVE-2026-24858 dans les produits Fortinet, découverte et exploitée activement fin janvier 2026, représente un risque majeur pour les infrastructures critiques utilisant FortiCloud SSO. Cette faille d’authentification bypass, notée CVSS 9.4, a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) par CISA, soulignant son urgence pour les agences fédérales et les entreprises.
Introduction
Fin janvier 2026, Fortinet a confirmé l’exploitation active d’une vulnérabilité critique dans son service FortiCloud SSO, affectant plusieurs produits phares comme FortiOS, FortiManager, FortiAnalyzer et FortiProxy. Trackée sous CVE-2026-24858, cette faille permet à un attaquant disposant d’un compte FortiCloud et d’un appareil enregistré de se connecter sans authentification à des dispositifs d’autres comptes, si le SSO est activé. Arctic Wolf a détecté des activités malveillantes dès le 15 janvier, avec des attaques automatisées créant des comptes admin backdoor, exfiltrant des configs et modifiant les VPN en quelques secondes.
Cette actualité, encore brûlante mi-février avec les patches en rollout et les IOC partagés, illustre les dangers croissants de la sécurité offensive contre les appliances réseau critiques, utilisées par des milliers d’entreprises mondiales.
Faits Clés de l’Exploitation
Les attaquants ont exploité la faille du 21 janvier au 26 janvier 2026, date à laquelle Fortinet a désactivé temporairement le FortiCloud SSO côté serveur pour bloquer les abus. Deux comptes malveillants FortiCloud ont été identifiés et verrouillés le 22 janvier : cloud-noc@mail.io et cloud-init@mail.io, suivis d’autres comme heltaylor.12@tutamail.com. Les IP sources incluent des adresses Cloudflare comme 104.28.244.115 et 163.61.198.15, masquant les origines.
Post-authentification, les hackers créaient des comptes locaux persistants tels que « audit », « backup », « itadmin » ou « secadmin », téléchargeaient les fichiers de configuration clients, et altéraient les settings VPN. Arctic Wolf note que l’exploitation touchait même des devices patchés partiellement, et CISA a fixé une deadline de remédiation au 30 janvier pour les entités fédérales US.
| Produit | Versions Affectées | Versions Corrigées |
|---|---|---|
| FortiOS | 7.6.0-7.6.5, 7.4.0-7.4.10, etc. | 7.6.6+, 7.4.11+, etc. |
| FortiManager | 7.6.0-7.6.5, 7.4.0-7.4.9, etc. | 7.6.6+, 7.4.10+, etc. |
| FortiAnalyzer | 7.6.0-7.6.5, 7.4.0-7.4.9, etc. | 7.6.6+, 7.4.10+, etc. |
Les versions 6.4 ne sont pas impactées, et les setups avec IdP custom (non FortiCloud) échappent au problème.
Analyse Technique et Contexte Offensive
CVE-2026-24858 est une authentification bypass via un canal alternatif (CWE-288), activée par défaut lors de l’enregistrement FortiCare GUI sans désactivation manuelle du toggle « Allow administrative login using FortiCloud SSO ». Cela souligne un piège courant en offensive security : la commodité SSO contre la sécurité périmétrique. Les attackers, probablement des groupes avancés, ont chainé cette faille pour une persistence rapide, typique des campagnes de lateral movement dans les environnements AD ou cloud hybrides.
Fortinet a réactivé le SSO le 27 janvier, mais bloque les logins depuis versions vulnérables, forçant les upgrades. Workarounds incluent la désactivation CLI : config system global set admin-forticloud-sso-login disable end sur FortiOS. Pour les pentesteurs comme vous, cela rappelle l’importance de scanner les interfaces management exposées et tester les SSO bypass dans les labs Kali/Impacket.
Cette vulnérabilité s’inscrit dans une vague d’attaques zero-day sur appliances (rappelant Log4Shell ou MOVEit), amplifiée par des outils comme Shodan pour cibler les FortiGate.
Conclusion et Implications
Cette zero-day sur Fortinet expose les risques systémiques : un firewall compromis devient porte d’entrée pour ransomware ou espionnage, impactant banques, gouvernements et infrastructures OT en France et ailleurs. Les implications pour la GRC sont claires : prioriser les patches zero-day, monitorer les logs syslog, restreindre les interfaces admin à des IP trusted, et auditer les comptes suspects.
Pour les pros de la sécurité offensive, c’est un cas d’école pour simuler des attaques SSO dans HTB/OSEP labs. Agissez vite : vérifiez vos Fortinet, upgradez, et renforcez la détection EDR. L’avenir ? Plus d’automatisation offensive, mais une défense proactive reste clé.
No responses yet