CVE-2026-24858
Fortinet Multiple Products
2026-01-27
Fortinet FortiAnalyzer, FortiManager, FortiOS, and FortiProxy contain an authentication bypass using an alternate path or channel that could allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2026-24858 представляет собой критический недостаток безопасности, позволяющий выполнить обход аутентификации (Authentication Bypass) в ряде продуктов Fortinet, включая FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Проблема возникает из-за некорректной обработки альтернативных путей или каналов аутентификации при взаимодействии с облачной инфраструктурой. Злоумышленник, обладающий любой действующей учетной записью FortiCloud и зарегистрированным в ней устройством, может использовать этот вектор для несанкционированного доступа к оборудованию, принадлежащему другим организациям или пользователям. Критическим условием для успешной эксплуатации данной уязвимости является активная функция единого входа (FortiCloud SSO) на целевом устройстве.
Как исправить
Основным и единственным полностью надежным способом устранения данной уязвимости является обновление программного обеспечения (firmware) уязвимых устройств до пропатченных версий. Проведите инвентаризацию парка оборудования Fortinet и зафиксируйте текущие версии операционных систем (FortiOS, FortiAnalyzer OS и т.д.). Сверьтесь с официальным бюллетенем безопасности FortiGuard (PSIRT), чтобы определить точные номера безопасных релизов для вашей текущей ветки обновлений. Обязательно выполните полное резервное копирование конфигурации (Backup) каждого устройства перед началом работ. Запланируйте технологическое окно, так как процесс обновления потребует перезагрузки оборудования и вызовет кратковременное прерывание сервисов. Скачайте проверенные образы прошивок с официального портала поддержки Fortinet (support.fortinet.com). Выполните обновление устройств согласно официальному пути миграции (Upgrade Path), чтобы избежать повреждения конфигурации.
Временные меры
Если немедленное обновление прошивки по каким-либо причинам невозможно, необходимо срочно применить компенсирующие меры для защиты инфраструктуры. Поскольку вектор атаки напрямую связан с функцией единого входа, главной мерой является полное отключение FortiCloud SSO для административного доступа на всех устройствах. Для отключения функции FortiCloud SSO через интерфейс командной строки (CLI) выполните следующий набор команд:
config system admin setting
set forticloud-sso disable
end
В качестве дополнительного эшелона защиты строго ограничьте доступ к интерфейсам управления (HTTPS, SSH), разрешив подключения только с выделенных IP-адресов администраторов (Trusted Hosts). Для настройки доверенных хостов конкретного администратора используйте следующие команды:
config system admin
edit "admin"
set trusthost1 192.168.100.0 255.255.255.0
end
Настройте пересылку системных журналов на ваш SIEM-сервер и настройте алерты на любые аномальные события аутентификации, связанные с модулем FortiCloud.