Fortinet retter aktivt udnyttet FortiCloud SSO‑0-dag

Eskil Sørensen
01.28.2026 09:58

Fortinet er begyndt at rulle patches ud til en kritisk sårbarhed i FortiCloud SSO‑funktionen, EUVD-2026-4712/ CVE‑2026‑24858, der i den seneste uge har muliggjort uautoriserede logins til organisationers FortiGate‑firewalls. Fejlen har været aktivt udnyttet af to kompromitterede FortiCloud‑konti, som Fortinet lukkede ned den 22. januar 2026. 

Det skriver Helpnet Security og Bleeping Computer.

Sårbarheden har en CVSS-score på 9,4 og er en authentication bypass via en alternativ kanal. I dette tilfælde kunne en angriber med en gyldig FortiCloud‑konto og et registreret device logge ind på andre enheder, der var tilknyttet andre konti – hvis FortiCloud SSO var slået til.

Graden af alvor ligger i kombinationen af:

  • fjernudnyttelse (via FortiCloud),
  • administratoradgang som slutpunkt,
  • og at udnyttelsesflowet allerede kendes og har været brugt i praksis.

Angrebene blev først opdaget 20. januar, hvor flere organisationer så ukendte admin‑konti dukke op på FortiGate‑enheder, selv om de kørte fuldt patched FortiOS. Mistanken faldt først på en lignende auth bypass fra 2025 (CVE‑2025‑59718), men Fortinet fastslår nu, at der er tale om en helt ny sårbarhed.

EUVD-2026-4712 / CVE‑2026‑24858 rammer ikke kun FortiOS, men også:

  • FortiAnalyzer
  • FortiManager

Alle tre produkter er sårbare, hvis FortiCloud SSO er aktiveret.

For at stoppe angrebene øjeblikkeligt deaktiverede Fortinet FortiCloud SSO globalt 26. januar 2026. Tjenesten blev reaktiveret dagen efter, men med den vigtige ændring, at enheder, der kører sårbare versioner, får nu afvist loginforsøg over SSO. Opgradering er derfor ikke blot anbefalet – den er nødvendig for at SSO kan fungere.

Patcherne rulles ud løbende, men FortiOS 7.4.11 er allerede ude med rettelsen.

Fortinet anbefaler følgende:

  • Opgrader til en version med patch, så snart den er tilgængelig for dit produkt.
  • Ignorer ikke FortiCloud SSO – at slå den fra lokalt hjælper ikke, da kontrollen nu foregår på FortiCloud‑siden.
  • Gennemgå logs for indikatorer på misbrug, især ukendte administrative konti og logins fra mistænkelige IP‑adresser
  • Skift credentials, hvis kompromittering mistænkes.
  • Gendan konfiguration fra et kendt rent snapshot, hvis der er tegn på brud.

Fortinet har samtidig udvidet listen over IP’er og kontonavne associeret med de igangværende angreb.

 

Læs mere

Sårbarhed