はじめに
Fortinetは、同社のFortiOSに影響を与える重大な脆弱性「CVE-2026-24858」に対処するためのセキュリティアップデートをリリースしました。この脆弱性は既に活発に悪用されていることが確認されており、ユーザーには早急な対応が求められます。
脆弱性の詳細
「CVE-2026-24858」(CVSSスコア: 9.4)と識別されたこの脆弱性は、FortiOSのシングルサインオン(SSO)に関連する認証バイパスです。この欠陥は、FortiManagerおよびFortiAnalyzerにも影響を及ぼします。Fortinetは、FortiWebやFortiSwitch Managerなど他の製品への影響についても調査を続けています。
Fortinetによると、この「Authentication Bypass Using an Alternate Path or Channel」脆弱性(CWE-288)は、FortiCloudアカウントを持ち、登録されたデバイスを持つ攻撃者が、対象デバイスでFortiCloud SSO認証が有効になっている場合、他のアカウントに登録されたデバイスにログインすることを可能にする可能性があります。
なお、FortiCloud SSOログイン機能は工場出荷時のデフォルト設定では有効になっていません。これは、管理者がデバイスのGUIからFortiCareにデバイスを登録した場合にのみ有効になります(「Allow administrative login using FortiCloud SSO」スイッチを明示的にオフにする措置を講じていない限り)。
悪用とFortinetの対応
この事態は、Fortinetが「新しい攻撃経路」が悪用され、認証を必要とせずにSSOログインが行われていることを確認した数日後に明らかになりました。このアクセスは、永続性のためにローカル管理者アカウントを作成し、そのアカウントにVPNアクセスを許可する設定変更を行い、ファイアウォール設定を外部に持ち出すために悪用されました。
過去1週間にわたり、Fortinetは以下の措置を講じています:
- 2026年1月22日、2つの悪意のあるFortiCloudアカウント(cloud-noc@mail.ioおよびcloud-init@mail.io)をロックアウトしました。
- 2026年1月26日、FortiCloud側でFortiCloud SSOを無効化しました。
- 2026年1月27日、FortiCloud SSOを再度有効化しましたが、脆弱なバージョンのデバイスからのログインオプションは無効にしました。
このため、FortiCloud SSO認証機能を利用するためには、顧客はソフトウェアの最新バージョンにアップグレードする必要があります。
推奨される対策
Fortinetは、侵害の兆候を検出したユーザーに対し、デバイスが侵害されたものとして扱い、以下の行動を推奨しています:
- デバイスが最新のファームウェアバージョンを実行していることを確認してください。
- 既知のクリーンな設定で構成を復元するか、不正な変更がないか監査してください。
- FortiGateデバイスに接続されている可能性のあるLDAP/ADアカウントを含む、認証情報をローテーションしてください。
CISAによる警告
この事態を受け、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2026-24858を「既知の悪用された脆弱性(KEV)」カタログに追加しました。これにより、連邦政府の行政機関は2026年1月30日までにこの問題に対処することが義務付けられています。
元記事: https://thehackernews.com/2026/01/fortinet-patches-cve-2026-24858-after.html