FortiCloud SSO Schwachstelle bei Authentifizierung (CVE-2026-24858)
In dieser Woche hat Fortinet eine dringend zu lesende Sicherheitswarnung veröffentlicht: eine kritische Authentifizierungs-Bypass-Schwachstelle in der FortiCloud Single Sign-On (SSO) Funktion, die aktiv in der Wildnis ausgenutzt wurde. Das betrifft FortiOS, FortiManager, FortiAnalyzer und FortiProxy, sofern FortiCloud-SSO aktiviert ist – und dieses Feature ist häufiger aktiv, als du denkst.
Worum geht es?
Die Schwachstelle, offiziell als Authentication Bypass Using an Alternate Path or Channel (CWE-288) klassifiziert (unter anderem CVE-2026-24858), ermöglicht es einem Angreifer mit einem eigenen FortiCloud-Konto und registriertem Gerät, sich auf anderen Geräten einzuloggen, die zu anderen Accounts gehören, wenn FortiCloud SSO aktiviert ist.
Das erschreckende daran: FortiCloud SSO ist nicht standardmäßig aktiviert, wird aber bei der Registrierung eines Gerätes über die GUI im FortiCare-Portal automatisch eingeschaltet, wenn der Admin den entsprechenden Schalter nicht explizit deaktiviert.
Was bedeutet das praktisch?
- Ein legitimer FortiCloud-Account + ein registriertes Gerät → reicht aus, um über FortiCloud SSO eventuell Admin-Zugriff auf fremde Geräte zu erhalten.
- Die Lücke wurde bereits aktiv missbraucht – Fortinet hat missbräuchliche FortiCloud-Konten gesperrt und die FortiCloud-SSO-Funktion auf Cloud-Seite temporär deaktiviert.
- Bei Wieder-Aktivierung wird FortiCloud SSO gegenüber Geräten mit verwundbaren Versionen blockiert, bis diese gepatcht sind.
Betroffene Produkte & Versionen
Die offizielle Advisory listet eine ganze Reihe von betroffenen Plattformen und Versionen auf, darunter:
| Version | Affected | Solution |
| FortiAnalyzer 7.6 | 7.6.0 through 7.6.5 | Upgrade to 7.6.6 or above |
| FortiAnalyzer 7.4 | 7.4.0 through 7.4.9 | Upgrade to 7.4.10 or above |
| FortiAnalyzer 7.2 | 7.2.0 through 7.2.11 | Upgrade to upcoming 7.2.12 or above |
| FortiAnalyzer 7.0 | 7.0.0 through 7.0.15 | Upgrade to upcoming 7.0.16 or above |
| FortiAnalyzer 6.4 | Not affected | Not Applicable |
| FortiManager 7.6 | 7.6.0 through 7.6.5 | Upgrade to 7.6.6 or above |
| FortiManager 7.4 | 7.4.0 through 7.4.9 | Upgrade to 7.4.10 or above |
| FortiManager 7.2 | 7.2.0 through 7.2.11 | Upgrade to upcoming 7.2.13 or above |
| FortiManager 7.0 | 7.0.0 through 7.0.15 | Upgrade to upcoming 7.0.16 or above |
| FortiManager 6.4 | Not affected | Not Applicable |
| FortiOS 8.0 | Not affected | Not Applicable |
| FortiOS 7.6 | 7.6.0 through 7.6.5 | Upgrade to 7.6.6 or above |
| FortiOS 7.4 | 7.4.0 through 7.4.10 | Upgrade to 7.4.11 or above |
| FortiOS 7.2 | 7.2.0 through 7.2.12 | Upgrade to upcoming 7.2.13 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.18 | Upgrade to upcoming 7.0.19 or above |
| FortiOS 6.4 | Not affected | Not Applicable |
| FortiProxy 7.6 | 7.6.0 through 7.6.4 | Upgrade to upcoming 7.6.6 or above |
| FortiProxy 7.4 | 7.4.0 through 7.4.12 | Upgrade to upcoming 7.4.13 or above |
| FortiProxy 7.2 | 7.2 all versions | Migrate to a fixed release |
| FortiProxy 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiWeb 8.0 | 8.0.0 through 8.0.3 | Upgrade to upcoming 8.0.4 or above |
| FortiWeb 7.6 | 7.6.0 through 7.6.6 | Upgrade to upcoming 7.6.7 or above |
| FortiWeb 7.4 | 7.4.0 through 7.4.11 | Upgrade to upcoming 7.4.12 or above |
| FortiWeb 7.2 | Not affected | Not Applicable |
| FortiWeb 7.0 | Not affected | Not Applicable |
Tipp: Nutze den Fortinet Upgrade-Tool-Assistenten, um die passende Fix-Version zu ermitteln.
Empfehlungen & Maßnahmen
1. FortiCloud SSO deaktivieren (sofern noch nicht gepatcht)
Per CLI (FortiOS / FortiProxy):
config system global
set admin-forticloud-sso-login disable
end
Alternativ über die GUI:
System > Settings > "Allow administrative login using FortiCloud SSO" deaktivieren
2. FortiCloud SSO auf FortiManager / FortiAnalyzer deaktivieren
Per CLI:
config system saml
set forticloud-sso disable
endDiese Konfiguration deaktiviert die FortiCloud-SSO-Anmeldung für administrative Zugriffe auf FortiManager bzw. FortiAnalyzer.
3. Admin-Konten und Logs überprüfen
Prüfe bestehende Administratoren und Login-Logs auf Auffälligkeiten, insbesondere:
- Neu angelegte lokale Admin-Accounts
- Unbekannte oder generische Benutzernamen (z. B.
audit,backup,remoteadmin) - Login-Versuche von ungewöhnlichen IP-Adressen oder zu ungewöhnlichen Zeiten
Bei verdächtigen Aktivitäten sollten betroffene Accounts umgehend deaktiviert und Zugangsdaten rotiert werden.
Fazit
Diese Schwachstelle ist ein Reminders-Moment für jede moderne Infrastruktur:
- SSO spart Adminzeit – aber nur, wenn es richtig gehärtet ist.
- Standard-Einstellungen allein schützen nicht vor aktiv ausgenutzten Auth-Bypasses.
- Patchen Sie zeitnah, deaktivieren Sie temporär SSO und überwachen Sie die Admin-Zugänge kontinuierlich.
Fortinet hat reagiert – aber bis Ihree Systeme auf sicheren Versionen laufen, solltest Sie das Risiko so gering wie möglich halten.
Unter https://fortiguard.fortinet.com/psirt/FG-IR-26-060 finden Sie weitere Informationen zu Workarounds und Indikatoren für eine Ausnutzung der Schwachstelle.
Wenn Sie Unterstützung benötigen, wenden Sie sich bitte an service@enthus.de oder nutzen Sie komfortabel unser Ticketsystem unter https://enthus.de/portal/servicetickets
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.