Во вторник компания Fortinet начала выпуск обновлений безопасности для устранения критической уязвимости, получившей идентификатор CVE-2026-24858. Данной проблеме присвоена оценка серьезности 9.4 балла по шкале CVSS, и она классифицируется как CWE-288 — обход аутентификации с использованием альтернативного пути или канала. Брешь связана с механизмом единого входа (Single Sign-On, SSO) и позволяет неавторизованным лицам обходить процедуры проверки подлинности.
Техническая механика атаки требует соблюдения ряда предварительных условий. Для реализации эксплойта злоумышленник должен иметь действующую учетную запись FortiCloud и зарегистрированное устройство. Если на целевом устройстве жертвы включена аутентификация FortiCloud SSO, атакующий получает возможность войти в системы, зарегистрированные на другие учетные записи, используя механизм SSO без предоставления валидных учетных данных для конкретной цели.
Особое внимание следует уделить конфигурационному контексту уязвимости. По умолчанию функция входа через FortiCloud SSO отключена. Однако этот механизм активируется автоматически, если администратор регистрирует устройство в службе FortiCare через графический интерфейс пользователя (GUI). В качестве меры контроля и минимизации рисков администраторам доступен переключатель с маркировкой «Allow administrative login using FortiCloud SSO» («Разрешить административный вход с использованием FortiCloud SSO»).
Подтверждено, что уязвимость затрагивает ключевые компоненты экосистемы производителя. В список пострадавших продуктов входят операционная система FortiOS, платформа централизованного управления FortiManager и система сбора логов и аналитики FortiAnalyzer. Использование устаревших версий ПО на данных устройствах создает прямой риск компрометации сети.
Расследование масштабов проблемы продолжается, и под подозрением находятся дополнительные продукты компании. Специалисты выясняют потенциальное влияние уязвимости на межсетевые экраны веб-приложений FortiWeb и решение для управления коммутацией FortiSwitch Manager. Администраторам этих систем рекомендуется внимательно следить за официальными уведомлениями вендора.
Ситуация усугубляется тем, что уязвимость уже находится в стадии активной эксплуатации в реальных условиях. Личности субъектов угроз на данный момент не установлены, но их методология включает злоупотребление «новым путем атаки» для обхода защиты. Это свидетельствует о том, что злоумышленники целенаправленно ищут уязвимые конфигурации в глобальной сети.
Зафиксированные вредоносные действия атакующих направлены на закрепление в скомпрометированных системах. Хакеры создают локальные учетные записи администраторов для обеспечения персистентности и модифицируют конфигурации устройств, предоставляя этим аккаунтам VPN-доступ. Конечной целью часто становится эксфильтрация (хищение) конфигурационных файлов межсетевых экранов.
Реагируя на угрозу, Агентство по кибербезопасности и защите инфраструктуры США (CISA) предприняло регуляторные меры. Уязвимость CVE-2026-24858 была оперативно добавлена в каталог известных эксплуатируемых уязвимостей (KEV), что подчеркивает высокий уровень опасности для корпоративных и государственных сетей.
В соответствии с директивами CISA, Федеральные агентства гражданской исполнительной власти (FCEB) обязаны устранить данную брешь в приоритетном порядке. Установлен жесткий крайний срок для проведения работ по исправлению: агентства должны обеспечить защиту своих систем до 30 января 2026 года.
Изображение носит иллюстративный характер
Техническая механика атаки требует соблюдения ряда предварительных условий. Для реализации эксплойта злоумышленник должен иметь действующую учетную запись FortiCloud и зарегистрированное устройство. Если на целевом устройстве жертвы включена аутентификация FortiCloud SSO, атакующий получает возможность войти в системы, зарегистрированные на другие учетные записи, используя механизм SSO без предоставления валидных учетных данных для конкретной цели.
Особое внимание следует уделить конфигурационному контексту уязвимости. По умолчанию функция входа через FortiCloud SSO отключена. Однако этот механизм активируется автоматически, если администратор регистрирует устройство в службе FortiCare через графический интерфейс пользователя (GUI). В качестве меры контроля и минимизации рисков администраторам доступен переключатель с маркировкой «Allow administrative login using FortiCloud SSO» («Разрешить административный вход с использованием FortiCloud SSO»).
Подтверждено, что уязвимость затрагивает ключевые компоненты экосистемы производителя. В список пострадавших продуктов входят операционная система FortiOS, платформа централизованного управления FortiManager и система сбора логов и аналитики FortiAnalyzer. Использование устаревших версий ПО на данных устройствах создает прямой риск компрометации сети.
Расследование масштабов проблемы продолжается, и под подозрением находятся дополнительные продукты компании. Специалисты выясняют потенциальное влияние уязвимости на межсетевые экраны веб-приложений FortiWeb и решение для управления коммутацией FortiSwitch Manager. Администраторам этих систем рекомендуется внимательно следить за официальными уведомлениями вендора.
Ситуация усугубляется тем, что уязвимость уже находится в стадии активной эксплуатации в реальных условиях. Личности субъектов угроз на данный момент не установлены, но их методология включает злоупотребление «новым путем атаки» для обхода защиты. Это свидетельствует о том, что злоумышленники целенаправленно ищут уязвимые конфигурации в глобальной сети.
Зафиксированные вредоносные действия атакующих направлены на закрепление в скомпрометированных системах. Хакеры создают локальные учетные записи администраторов для обеспечения персистентности и модифицируют конфигурации устройств, предоставляя этим аккаунтам VPN-доступ. Конечной целью часто становится эксфильтрация (хищение) конфигурационных файлов межсетевых экранов.
Реагируя на угрозу, Агентство по кибербезопасности и защите инфраструктуры США (CISA) предприняло регуляторные меры. Уязвимость CVE-2026-24858 была оперативно добавлена в каталог известных эксплуатируемых уязвимостей (KEV), что подчеркивает высокий уровень опасности для корпоративных и государственных сетей.
В соответствии с директивами CISA, Федеральные агентства гражданской исполнительной власти (FCEB) обязаны устранить данную брешь в приоритетном порядке. Установлен жесткий крайний срок для проведения работ по исправлению: агентства должны обеспечить защиту своих систем до 30 января 2026 года.
