Fortinet Corrige la CVE-2026-24858 Après Détection d'Exploitation Active de FortiOS SSO

Une Faille Critique Exploitée en Production

28 janvier 2026 - Fortinet a commencé à déployer des correctifs de sécurité pour remédier à une vulnérabilité critique affectant FortiOS qui a été activement exploitée dans la nature. Cette faille représente un risque majeur pour les organisations utilisant les solutions de sécurité réseau de Fortinet.

Détails Techniques de la Vulnérabilité

La vulnérabilité, identifiée comme CVE-2026-24858, présente les caractéristiques suivantes :

Score CVSS : 9.4 (Critique)

Type : Contournement d'authentification via SSO (Single Sign-On)

Produits affectés : FortiOS, FortiManager, FortiAnalyzer

Enquête en cours : FortiWeb et FortiSwitch Manager potentiellement concernés

Nature de la Faille

Selon l'avis de sécurité officiel de Fortinet, il s'agit d'une "vulnérabilité de contournement d'authentification utilisant un chemin alternatif ou un canal" (CWE-288). Cette faille permet à un attaquant disposant d'un compte FortiCloud et d'un appareil enregistré de se connecter à d'autres appareils enregistrés sur d'autres comptes, si l'authentification FortiCloud SSO est activée.

Contexte de l'Exploitation

Chronologie des Événements

L'exploitation de cette vulnérabilité s'inscrit dans une séquence d'attaques sophistiquées :

Découverte initiale : Des acteurs malveillants ont exploité un "nouveau vecteur d'attaque" permettant des connexions SSO sans authentification

Activités malveillantes :

Création de comptes administrateurs locaux pour assurer la persistance

Modifications de configuration accordant l'accès VPN à ces comptes

Exfiltration des configurations de pare-feu

Point Important sur la Configuration

⚠️ Note Cruciale : La fonctionnalité FortiCloud SSO n'est pas activée par défaut dans les paramètres d'usine. Elle ne s'active que lorsqu'un administrateur enregistre l'appareil sur FortiCare depuis l'interface graphique de l'appareil, à moins qu'il n'ait explicitement désactivé l'option "Autoriser la connexion administrative via FortiCloud SSO".

Mesures Prises par Fortinet

Actions de Remédiation Immédiates

Au cours de la semaine dernière, Fortinet a mis en œuvre les mesures suivantes :

22 janvier 2026 : Verrouillage de deux comptes FortiCloud malveillants identifiés :

cloud-noc@mail.io

cloud-init@mail.io

26 janvier 2026 : Désactivation de FortiCloud SSO du côté FortiCloud

27 janvier 2026 : Réactivation de FortiCloud SSO avec restrictions - désactivation de l'option de connexion depuis les appareils exécutant des versions vulnérables

Obligations de Mise à Jour

Les clients doivent impérativement mettre à niveau vers les dernières versions du logiciel pour que l'authentification FortiCloud SSO fonctionne correctement.

Recommandations pour les Organisations Affectées

Si vous détectez des signes de compromission, Fortinet recommande de traiter vos appareils comme compromis et de suivre ces actions :

1. Mise à Jour Immédiate

Assurez-vous que l'appareil exécute la dernière version du firmware

2. Restauration de Configuration

Restaurez la configuration avec une version propre connue

Ou effectuez un audit pour détecter toute modification non autorisée

3. Rotation des Identifiants

Changez tous les identifiants, y compris les comptes LDAP/AD connectés aux appareils FortiGate

Impact et Réponse Gouvernementale

Catalogage par la CISA

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la CVE-2026-24858 à son catalogue des vulnérabilités exploitées connues (KEV), imposant aux agences fédérales une date limite de remédiation au 30 janvier 2026.

Analyse de Next2.fr

Points Clés à Retenir

Gravité exceptionnelle : Avec un score CVSS de 9.4, cette vulnérabilité est parmi les plus critiques de l'année

Exploitation active : La présence d'attaques réelles souligne l'urgence de la situation

Portée étendue : Les produits FortiOS, FortiManager et FortiAnalyzer sont tous affectés

Réponse rapide nécessaire : La fenêtre de remédiation est extrêmement courte

Recommandations Next2.fr

Pour les organisations marocaines et francophones utilisant les solutions Fortinet :

Action immédiate : Vérifiez si la fonctionnalité FortiCloud SSO est activée sur vos appareils

Audit de sécurité : Examinez les journaux d'accès pour détecter toute activité suspecte

Plan de réponse : Préparez un plan de remédiation incluant sauvegarde, mise à jour et rotation des identifiants

Communication : Informez vos équipes IT et de sécurité de cette menace critique

Conclusion

La CVE-2026-24858 représente une menace sérieuse pour les infrastructures de sécurité réseau utilisant les produits Fortinet. L'exploitation active en production et la criticité de la faille nécessitent une action immédiate de la part des équipes de sécurité. La collaboration entre Fortinet, la CISA et les organisations est essentielle pour contenir cette menace et prévenir de futures compromissions.