FortiOS SSO の脆弱性 CVE-2026-24858 が FIX:悪用の確認と CISA KEV 登録

Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected

2026/01/28 TheHackerNews — Fortinet が公表したのは、実環境で既に悪用が確認されている、FortiOS に影響を及ぼす深刻な脆弱性に対処するためのセキュリティ・アップデート提供の開始である。この脆弱性 CVE-2026-24858 (CVSS:9.4) は、FortiOS の Single Sign-On (SSO) に関連する認証バイパスの欠陥であり、FortiManager および FortiAnalyzer にも影響を及ぼす。FortiWeb や FortiSwitch Manager を含む他製品への影響についても、引き続き調査を進めていると、Fortinet は述べている。

1月27日 (火) 公開したアドバイザリで Fortinet は、「FortiOS/FortiManager/FortiAnalyzer に存在する、Alternate Path/Channel における認証バイパスの脆弱性 [CWE-288] により、FortiCloud アカウントと登録済みデバイスを持つ攻撃者が、FortiCloud SSO 認証が有効化されている他のアカウント配下のデバイスにログインする可能性がある」と述べている。

なお、FortiCloud SSO ログイン機能は、工場出荷時のデフォルト設定では有効化されていない。この機能は、管理者がデバイスの GUI から、FortiCare にデバイスを登録する場合にのみ有効化するものである。したがって、再び無効化する場合には、”Allow administrative login using FortiCloud SSO” スイッチを OFF にする必要がある。

新たな攻撃経路を悪用する未特定の脅威アクターが、いかなる認証も必要とせずに SSO ログインを達成したことを、数日前に Fortinet は認めていたが、それに続くかたちで、今回の発表が行われた。

この悪意のアクセスにより、永続化を目的としたローカル管理者アカウントの作成/当該アカウントに VPN アクセスを付与する設定変更/ファイアウォール設定の外部持ち出しが行われていた。

この 1 週間において、Fortinet は以下の対応を実施したとしている:

  • 2026年1月22日:悪意の 2 件の FortiCloud アカウント (cloud-noc@mail.io/cloud-init@mail.io) をロックアウト
  • 2026年1月26日:FortiCloud 側で FortiCloud SSO を無効化
  • 2026年1月27日:FortiCloud SSO を再有効化する一方で、脆弱なバージョンを実行しているデバイスからのログインを無効化

言い換えると、FortiCloud SSO 認証を利用する顧客は、ソフトウェアを最新バージョンへ更新する必要がある。さらに Fortinet は、侵害の兆候を検知した利用者に対して、対象デバイスは侵害済みであると見なすべきだと警告し、以下の対応を推奨している。

  • 対象デバイスが最新のファームウェアで稼働していることの確認
  • 既知のクリーンな構成で設定を復元し、不正な変更を監査
  • FortiGate デバイスに接続されている LDAP/AD アカウントなどのローテーション

この事態を受け、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、脆弱性 CVE-2026-24858 を Known Exploited Vulnerabilities (KEV) カタログに追加した。これにより、連邦政府民間行政部門 (FCEB) 機関は、2026年1月30日までに当該問題への対処を行うことが義務付けられている。

Fortinet の基盤 OS である FortiOS と、管理プラットフォームである FortiManager/FortiAnalyzer に深刻な脆弱性 CVE-2026-24858 (CVSS:9.4) が発見されました。この問題の原因は、FortiCloudのSingle Sign-On(SSO)機能における認証バイパスの不備にあり、すでに実環境での悪用が確認されています。

この脆弱性を悪用する攻撃者は、自らの FortiCloud アカウントを介して、SSO 認証が有効化されている他の組織のデバイスへの不正ログインを可能にします。本来であれば、厳格に分離されるべき認証経路が、特定の条件下でバイパスされてしまう点が、この問題の本質です。実際に確認された攻撃では、侵入した攻撃者が以下のような “永続的な支配” を目的とした活動を行っていました:

  • バックドアの作成:自身のアクセスを維持するために、新しいローカル管理者アカウントを作成。
  • VPN の不正設定:作成したアカウントにVPNアクセス権限を付与し、外部から侵入できる状態を維持。
  • 設定の流出:ファイアウォールの設定情報を外部に持ち出し、さらなる攻撃の足がかりにを構築。

ご利用のチームは、ご注意ください。よろしければ、カテゴリー AuthN AuthZ を、ご参照ください。