概要

連邦当局とセキュリティ研究者は、FortinetのFortiCloudシングルサインオン（SSO）における重大な脆弱性（CVE-2026-24858）について警告しています。この脆弱性は現在、活発に悪用されており、数週間前に発見された類似の認証バイパス脆弱性（CVE-2025-59718およびCVE-2025-59719）の後に続くものです。

脆弱性の詳細 (CVE-2026-24858)

CVE-2026-24858は、登録されたデバイスとFortiCloudアカウントを持つ攻撃者が、他のアカウントに登録されたデバイスにアクセスすることを可能にする脆弱性です。この攻撃が成功するためには、対象デバイスでFortiCloud SSO認証が有効になっている必要があります。

攻撃状況と影響

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、Fortinetが複数の悪意ある活動形態を確認したと警告しています。これには以下が含まれます。

• ハッカーによるFortiGateデバイスのファイアウォール設定変更
• 不正なアカウントの作成
• 新しいアカウントへのアクセスを得るためのVPNアカウントの変更

CISAは、この新しい脆弱性を「Known Exploited Vulnerabilities」カタログに追加しました。Shadowserverの報告によると、約10,000のインスタンスがこの脆弱性の影響を受けているとされています。

Arctic Wolfの研究者たちは、1月15日からファイアウォールへの自動設定変更のパターンを観測し始めました。攻撃者は永続性を得るために汎用アカウントを作成し、VPNアクセスを許可するように変更を加えて、追加の設定変更やデータ流出へと繋げていました。

FortinetおよびCISAの対応と推奨事項

Fortinetは、ユーザーに対しセキュアなバージョンへのアップグレードを促すガイダンスを火曜日に発表しました。月曜日には一時的にFortiCloud SSOを無効にして悪用を防ぎ、火曜日にはアクセスを復旧させました。同社は、脆弱なデバイスへのアクセスは今後サポートされないことを明言しています。

CISAは、以前のSSOバイパスの脆弱性（CVE-2025-59718およびCVE-2025-59719）に対してパッチを適用したユーザーも、この新しい脆弱性からは保護されていないため、アップグレードが必要であると強調しています。

過去の脆弱性との関連

Arctic Wolfの研究者は、「根本的な技術的欠陥は異なるものの、12月と1月の攻撃キャンペーンには類似点がある」と指摘しています。両ケースで、Fortinet SSOを介した認証成功後、多くの場合数秒以内にファイアウォール設定ファイルのダウンロードが観測されており、これは自動化された、またはスクリプト化された行動を示唆しています。

---

元記事: https://www.cybersecuritydive.com/news/cisa-researchers-warn-forticloud-flaw-attack/810861/