A Fortinet egy új, kritikus súlyosságú, aktívan kihasznált sérülékenységre hívta fel a figyelmet, amely a FortiCloud egyszeri bejelentkezési (Single Sign-On, SSO) mechanizmusát érinti. A CVE-2026-24858 azonosítón nyomon követett sebezhetőség a hitelesítés megkerülést teszi lehetővé, és nulladik napi támadások formájában már aktívan kihasználásra került.
A sérülékenység révén a támadók a FortiCloud SSO mechanizmust kihasználva adminisztrátori jogosultságot szerezhetnek más ügyfelekhez tartozó FortiOS, FortiManager és FortiAnalyzer eszközökön. A támadások olyan rendszereket is érintettek, amelyek a korábban nyilvánosságra hozott és 2025. decemberében javított CVE-2025-59718 sérülékenységgel szemben már teljes mértékben frissítettek voltak.
Az incidensek január 21-én váltak ismertté, amikor több Fortinet ügyfél kompromittált FortiGate tűzfalakról számolt be. A támadók FortiCloud SSO-n keresztül hitelesítették magukat, majd új helyi adminisztrátori fiókokat hoztak létre olyan eszközökön is, amelyek a legfrissebb firmware-verziót futtatták. Az elemzett naplóadatok és kompromittálódási indikátorok jelentős hasonlóságot mutattak a 2025. decemberében tapasztalt kihasználásokkal.
Január 22-én az Arctic Wolf kiberbiztonsági vállalat megerősítette a támadások tényét és megállapította, hogy az események automatizált jellegűek voltak. A támadók másodperceken belül új adminisztrátori és VPN-hozzáféréssel rendelkező fiókokat hoztak létre, a tűzfalak konfigurációs állományait is exfiltrálták. Az elemzés szerint a kampány jellege nagyfokú hasonlóságot mutatott a CVE-2025-59718 korábbi kihasználásával.
A Fortinet január 23-án megerősítette, hogy a támadók egy alternatív hitelesítési útvonalat használtak ki, amely a teljeskörűen javított rendszereken is elérhető maradt. Bár a tényleges kihasználást eddig kizárólag a FortiCloud SSO esetében észlelték, a vállalat arra figyelmeztetett, hogy a probléma valamennyi SAML-alapú SSO megvalósítást érintheti.
A támadások kockázatának mérséklése érdekében a Fortinet több szerveroldali intézkedést vezetett be. Letiltotta a visszaélésekhez használt FortiCloud-fiókokat, ideiglenesen globálisan felfüggesztette a FortiCloud SSO működését, majd olyan korlátozásokkal állította vissza a szolgáltatást, amelyek megakadályozzák a sebezhető firmware-t futtató eszközök SSO-alapú hitelesítését. Ennek eredményeként az érintett rendszereken a funkció engedélyezve maradhat a javítások megjelenéséig.
A Fortinet január 27-én közzétett PSIRT tájékoztatójában a sérülékenységet kritikus besorolással, 9.4-es CVSS pontszámmal értékelte. A vállalat tájékoztatása szerint a javítások fejlesztése jelenleg is folyamatban van a FortiOS, FortiManager és FortiAnalyzer termékekhez, továbbá vizsgálják, hogy a FortiWeb és a FortiSwitch Manager érintett-e.
A Fortinet hangsúlyozza, hogy azoknak az ügyfeleknek, akik a kompromittálódás jeleit észlelik rendszereikben, az érintett eszközöket teljes mértékben kompromittáltnak kell tekinteniük. Ilyen esetekben a vállalat javasolja az összes adminisztrátori fiók felülvizsgálatát, a konfigurációk ismerten tiszta biztonsági mentésekből történő visszaállítását, valamint valamennyi hitelesítési adat haladéktalan cseréjét.