Fortinet曝出新严重漏洞 SSO账户补丁后仍遭破解

对于Fortinet客户来说，安全问题还没有结束——这家安全公司又披露了另一个关键的FortiCloud SSO漏洞。

那些希望在上周的补丁混乱后得到缓解的用户可能要失望了。在用户报告FortiCloud SSO账户遭到成功入侵后，尽管已经针对早期漏洞进行了修补，但供应商确认存在另一种攻击路径。

根据周二发布的安全公告，该替代路径被分配了单独的漏洞标识符（CVE-2026-24858，CVSS评分9.4），公司已禁用来自易受攻击版本的FortiCloud SSO连接。补丁尚未准备就绪。

Fortinet确认CVE-2026-24858是一个身份验证绕过漏洞，在野外被两个恶意FortiCloud账户利用，但这些账户已于1月22日被阻止。

FortiAnalyzer、FortiManager、FortiOS和FortiProxy的客户都受到影响，应升级到公告中推荐的版本以恢复FortiCloud SSO服务。一些版本已有安全发布版本，尽管大多数版本的补丁仍在开发中。

FortiWeb和FortiSwitch Manager仍在调查其对这些安全漏洞的暴露程度。

最初的攻击是由Arctic Wolf在1月15日左右首次发现的，似乎涉及Fortinet在12月修补的两个漏洞：CVE-2025-59718和CVE-2025-59719。

相关漏洞允许攻击者使用特制的SAML响应绕过SSO检查，观察到的攻击似乎使用CVE-2025-59718来入侵防火墙。

Fortinet在1月22日确认，攻击确实绕过了12月的补丁，利用了FortiCloud SSO，但通过替代手段实现。补丁对一种攻击路径有效，但对这种单独的路径无效。

Fortinet首席信息安全官Carl Windsor当时警告说，尽管公司了解的攻击只针对FortiCloud SSO，但所有基于SAML的SSO实现都存在漏洞。

最新公告指出，在满足特定条件的情况下，攻击者可以利用身份验证绕过漏洞。

"FortiOS、FortiManager、FortiAnalyzer中使用替代路径或通道的身份验证绕过漏洞可能允许拥有FortiCloud账户和已注册设备的攻击者登录注册到其他账户的其他设备，前提是这些设备启用了FortiCloud SSO身份验证。"

"请注意，FortiCloud SSO登录功能在默认出厂设置中未启用。但是，当管理员从设备GUI将设备注册到FortiCare时，除非管理员在注册页面中禁用'允许使用FortiCloud SSO进行管理登录'切换开关，否则FortiCloud SSO登录将在注册后启用。"

Q&A

Q1：CVE-2026-24858漏洞的严重程度如何？

A：CVE-2026-24858是一个身份验证绕过漏洞，CVSS评分高达9.4，属于严重漏洞。该漏洞已在野外被两个恶意FortiCloud账户利用，允许攻击者绕过SSO检查登录其他账户的设备。

Q2：哪些Fortinet产品受到这个新漏洞影响？

A：FortiAnalyzer、FortiManager、FortiOS和FortiProxy的客户都受到影响，需要升级到公告推荐的版本。FortiWeb和FortiSwitch Manager仍在调查中，确定其对安全漏洞的暴露程度。

Q3：FortiCloud SSO默认是否启用？如何防范？

A：FortiCloud SSO登录功能在默认出厂设置中未启用。但当管理员将设备注册到FortiCare时，除非主动禁用"允许使用FortiCloud SSO进行管理登录"选项，否则会自动启用该功能，存在安全风险。