Impatto Sistemico

Critico (81.79)

Sintesi

Fortinet ha recentemente confermato lo sfruttamento attivo in rete di una vulnerabilità di tipo zero-day presente in FortiOS, FortiManager, FortiAnalyzer e FortiProxy. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato, con un account FortiCloud e un dispositivo registrato, di accedere ad altri dispositivi registrati ad account differenti, se l’autenticazione FortiCloud SSO è abilitata su tali dispositivi.

Tipologia

Authentication Bypass

Descrizione e potenziali impatti

Fortinet ha recentemente confermato lo sfruttamento attivo in rete di una vulnerabilità di tipo zero-day presente in FortiOS, FortiManager, FortiAnalyzer e FortiProxy.

Nel dettaglio, la vulnerabilità, identificata come CVE-2026-24858 – di tipo “Authentication Bypass” e con score 3.x pari a 9.8 – è dovuta ad una gestione impropria dell’identità FortiCloud associata ai dispositivi registrati, che consente un bypass dell’autenticazione SSO quando la funzionalità “FortiCloud SSO administrative login” è attiva. Sebbene tale funzionalità non sia abilitata da impostazioni di fabbrica, essa viene attivata automaticamente durante la registrazione del dispositivo tramite GUI, a meno che l’amministratore non disabiliti manualmente l’opzione Allow administrative login using FortiCloud SSO . Di conseguenza, molti dispositivi risultano esposti senza che gli amministratori ne siano pienamente consapevoli. Un utente malintenzionato in possesso di un account FortiCloud legittimo e di un dispositivo registrato al proprio account, potrebbe sfruttare tale vulnerabilità per autenticarsi come amministratore su dispositivi appartenenti ad account FortiCloud di altre organizzazioni, purché i dispositivi vittima abbiano FortiCloud SSO abilitato.

Prodotti e/o versioni affette

Fortinet

• FortiAnalyzer 7.6.x, versione 7.6.5 e precedenti
• FortiAnalyzer 7.4.x, versione 7.4.9 e precedenti
• FortiAnalyzer 7.2.x, versione 7.2.11 e precedenti
• FortiAnalyzer 7.0.x, versione 7.0.15 e precedenti
• FortiManager 7.6.x, versione 7.6.5 e precedenti
• FortiManager 7.4.x, versione 7.4.9 e precedenti
• FortiManager 7.2.x, versione 7.2.11 e precedenti
• FortiManager 7.0.x, versione 7.0.15 e precedenti
• FortiOS 7.6.x, versione 7.6.5 e precedenti
• FortiOS 7.4.x, versione 7.4.10 e precedenti
• FortiOS 7.2.x, versione 7.2.12 e precedenti
• FortiOS 7.0.x, versione 7.0.18 e precedenti
• FortiProxy 7.6.x, versione 7.6.4 e precedenti
• FortiProxy 7.4.x, versione 7.4.12 e precedenti
• FortiProxy 7.2.x, tutte le versioni
• FortiProxy 7.0.x, tutte le versioni
• FortiWeb 8.0.x, versione 8.0.3 e precedenti
• FortiWeb 7.6.x, versione 7.6.6 e precedenti
• FortiWeb 7.4.x, versione 7.4.11 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Per le versioni di prodotto per le quali non è ancora disponibile una patch, Fortinet ha applicato una misura di sicurezza lato cloud (FortiCloud): i dispositivi che stanno eseguendo versioni di prodotto vulnerabili NON possono più autenticarsi via FortiCloud SSO. Questo significa che Fortinet ha bloccato l’intero flusso SSO dal backend FortiCloud, impedendo il login dai dispositivi vulnerabili, indipendentemente da ciò che è impostato sul dispositivo stesso.

Si suggerisce inoltre di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti dal vendor nel bollettino di sicurezza riportato nella sezione Riferimenti.

Qualora nei propri dispositivi vengano identificati degli IoC, Fortinet raccomanda di trattare il sistema e la configurazione come compromessi ed eseguire le azioni di ripristino disponibili alla sezione “Post Exploitation Actions” al link presente nella sezione Riferimenti.