Fortinet выпустила экстренные обновления из-за уязвимости CVE-2026-24858 в FortiCloud SSO. Это тот редкий случай, когда компрометация начинается не с подбора пароля и не с старой версии прошивки. По данным Fortinet, злоумышленнику было достаточно иметь любой FortiCloud-аккаунт, чтобы войти в чужое устройство, если на нем был включен вход через FortiCloud SSO. Атаки шли как минимум с середины января и всплыли после жалоб клиентов на несанкционированные локальные админ-аккаунты.
FortiCloud SSO по умолчанию выключен, но часто включается автоматически при регистрации устройства в FortiCloud через интерфейс. Уязвимость была в проверке принадлежности устройства к конкретной организации. Если вход через FortiCloud SSO активен, система могла не убедиться, что аккаунт действительно имеет право логиниться в это устройство. В результате любой FortiCloud-пользователь мог получить административный доступ.
Fortinet подтверждает, что атаки шли через два FortiCloud-аккаунта: [email protected] и [email protected]. После входа атакующие создавали локальные учетные записи администратора, чтобы сохранить доступ уже без облачного SSO. В списке имен, которые встречались у пострадавших, фигурируют audit, backup, itadmin, secadmin, support, backupadmin, deploy, remoteadmin, security, svcadmin и system. Затем злоумышленники выгружали конфигурации устройств, а это обычно означает доступ к топологии сети, правилам фильтрации, VPN-настройкам и другим чувствительным параметрам.
Параллельно Fortinet на несколько дней фактически нажала аварийную кнопку. 22 января компания заблокировала злоупотреблявшие аккаунты, 26 января отключила FortiCloud SSO на своей стороне, а 27 января включила обратно, но с ограничением для уязвимых версий.
Уязвимость затрагивает FortiOS, FortiManager, FortiAnalyzer и FortiProxy в ветках 7.x. Критичное условие одно: включенный вход через FortiCloud SSO. Это может быть забытая настройка, включенная когда-то при регистрации устройства и оставшаяся навсегда.
Патчи выходят поэтапно. Fortinet начала с FortiOS 7.4.11 и заявляла о готовящихся обновлениях для других веток, включая 7.6.6 и 8.0.0.
Fortinet-устройства часто стоят на границе сети. Если злоумышленник получает административный доступ к FortiGate или связанной системе управления, он получает не просто точку присутствия. Он получает карту сети, VPN-параметры, правила маршрутизации, список разрешенных адресов и иногда ключи или токены интеграций. Такой доступ позволяет и скрыться, и закрепиться, и подготовить следующий шаг уже по внутренним системам.
Что делать прямо сейчас
Если у вас есть Fortinet-устройства, которые когда-либо регистрировали в FortiCloud, имеет смысл действовать в два слоя.
Просмотрите список локальных администраторов и ищите неожиданные записи, особенно с именами из типового набора вроде audit, backup, itadmin, secadmin, support. Проверьте логи входа и любые выгрузки конфигурации, начиная примерно с 15 января. Если находите следы, готовьтесь к полноценному расследованию, включая сравнение текущей конфигурации с заведомо чистой резервной копией.
До установки патча Fortinet и внешние исследователи рекомендуют временно отключить административный вход через FortiCloud SSO. Для FortiOS это делается через CLI командой config system global, затем set admin-forticloud-sso-login disable, затем end.  Для FortiManager и FortiAnalyzer отключение SSO выполняется в разделе SAML/FortiCloud SSO согласно инструкциям производителя.
И наконец, обновиться. Здесь нет красивой альтернативы. Fortinet прямо описывает этот инцидент как эксплуатируемый, а CISA выставила жесткий дедлайн. Это история не про теоретический риск, а про окно, в которое уже успели войти.
