Was ist passiert?
Am 28. Januar 2026 veröffentlichte Fortinet einen Notfall-Patch für CVE-2026-24858, eine kritische Schwachstelle im FortiCloud Single Sign-On (SSO). Die Lücke ermöglicht es Angreifern, die bereits über einen gültigen FortiCloud-Account verfügen, sich auf Geräten anderer Kunden anzumelden – vorausgesetzt, FortiCloud SSO ist auf diesen Geräten aktiviert.
Arctic Wolf hat ab dem 15. Januar 2026 eine Welle automatisierter Angriffe dokumentiert, bei der über zwei kompromittierte FortiCloud-Accounts gezielt Gerätekonfigurationen manipuliert und Backdoor-Accounts angelegt wurden. Die betroffenen Accounts wurden am 22. Januar 2026 gesperrt.
Wen betrifft es?
Alle Organisationen, die folgende Produkte mit aktiviertem FortiCloud SSO betreiben:
- ▸FortiGate (FortiOS)
- ▸FortiManager
- ▸FortiWeb
- ▸FortiProxy
- ▸FortiAnalyzer
Betroffene Versionen
- ▸FortiOS: alle Versionen mit aktiviertem FortiCloud SSO
- ▸FortiManager, FortiWeb, FortiProxy, FortiAnalyzer: alle aktuellen Releases
Was ist zu tun?
1. Sofort: FortiCloud SSO deaktivieren, sofern nicht zwingend benötigt. 2. Patch einspielen: Fortinet-Patches der betroffenen Produkte umgehend installieren. 3. Audit der Admin-Accounts: Unbekannte oder generische Admin-Accounts auf allen FortiGate-Geräten prüfen und entfernen. 4. Konfigurationsintegrität prüfen: Firewall-Regeln, VPN-Konfigurationen und Admin-Zugänge auf unautorisierte Änderungen seit dem 1. Januar 2026 überprüfen. 5. SIEM/Logging: Authentifizierungslogs auf SSO-Logins von unbekannten FortiCloud-Accounts prüfen.
--- Dieses Advisory dient der Information. Für eine Analyse Ihrer FortiGate-Konfiguration kontaktieren Sie uns.