Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un grave difetto, catalogato come CVE-2026-24858, è stato confermato come sfruttato in attacchi dal mondo reale contro dispositivi vulnerabili.
Questo non è un avviso teorico o un problema isolato: gli aggressori hanno già violato reti utilizzando tecniche che aggirano i controlli di autenticazione che molti consideravano sicuri.
La radice del problema è un errore logico nel modo in cui Fortinet gestisce le sessioni Single Sign-On (SSO) tramite FortiCloud. Questo difetto consente a un attaccante con un account FortiCloud valido e un dispositivo registrato di accedere ad altri dispositivi senza le credenziali corrette, bypassando completamente il normale processo di autenticazione.
Il cuore della falla sta proprio nella funzione FortiCloud SSO. Anche se questa opzione non è attivata di default sui dispositivi appena usciti dalla fabbrica, diventa spesso operativa durante procedure amministrative standard, come la registrazione del dispositivo a FortiCare tramite interfaccia grafica.
Le circostanze peggiori si sono già materializzate: due account FortiCloud controllati da malintenzionati sono stati identificati mentre sfruttavano la vulnerabilità per ottenere accesso non autorizzato alle reti dei clienti. Una volta dentro, gli aggressori non si sono limitati a entrare una volta sola, ma hanno creato account amministrativi locali persistenti per mantenere il controllo anche dopo la chiusura della sessione iniziale.
Fortinet, che ha riportato lo sfruttamento del bug, è intervenuta tempestivamente: il 22 gennaio 2026 gli account corrotti sono stati bloccati, e il 26 gennaio l’intero meccanismo FortiCloud SSO è stato temporaneamente disabilitato lato server per fermare ulteriori abusi. Il giorno successivo, il servizio è stato riattivato con restrizioni, impedendo ai dispositivi con versioni vulnerabili di effettuare login fino all’applicazione degli aggiornamenti necessari.
Gli amministratori di sistema non devono ignorare questo bollettino. È essenziale analizzare i log di accesso alla ricerca delle email sospette usate dagli aggressori e controllare il traffico proveniente dagli indirizzi IP conosciuti associati agli attacchi.
La correzione permanente di questa falla non si ottiene con un semplice blocco server-side: è necessario aggiornare i dispositivi alle ultime versioni di firmware per ripristinare la piena sicurezza e consentire il ritorno del servizio SSO senza rischi.
