Vulnerabilità Fortinet CVE-2026-24858: Hacker Dentro le Reti con Credenziali Legittime

Un grave difetto, catalogato come CVE-2026-24858, è stato confermato come sfruttato in attacchi dal mondo reale contro dispositivi vulnerabili.

Questo non è un avviso teorico o un problema isolato: gli aggressori hanno già violato reti utilizzando tecniche che aggirano i controlli di autenticazione che molti consideravano sicuri.

La radice del problema è un errore logico nel modo in cui Fortinet gestisce le sessioni Single Sign-On (SSO) tramite FortiCloud. Questo difetto consente a un attaccante con un account FortiCloud valido e un dispositivo registrato di accedere ad altri dispositivi senza le credenziali corrette, bypassando completamente il normale processo di autenticazione.

Vulnerabilità e Sfruttamento

Il cuore della falla sta proprio nella funzione FortiCloud SSO. Anche se questa opzione non è attivata di default sui dispositivi appena usciti dalla fabbrica, diventa spesso operativa durante procedure amministrative standard, come la registrazione del dispositivo a FortiCare tramite interfaccia grafica.

Le circostanze peggiori si sono già materializzate: due account FortiCloud controllati da malintenzionati sono stati identificati mentre sfruttavano la vulnerabilità per ottenere accesso non autorizzato alle reti dei clienti. Una volta dentro, gli aggressori non si sono limitati a entrare una volta sola, ma hanno creato account amministrativi locali persistenti per mantenere il controllo anche dopo la chiusura della sessione iniziale.

Mitigazioni Immediate

Fortinet, che ha riportato lo sfruttamento del bug, è intervenuta tempestivamente: il 22 gennaio 2026 gli account corrotti sono stati bloccati, e il 26 gennaio l’intero meccanismo FortiCloud SSO è stato temporaneamente disabilitato lato server per fermare ulteriori abusi. Il giorno successivo, il servizio è stato riattivato con restrizioni, impedendo ai dispositivi con versioni vulnerabili di effettuare login fino all’applicazione degli aggiornamenti necessari.

Gli amministratori di sistema non devono ignorare questo bollettino. È essenziale analizzare i log di accesso alla ricerca delle email sospette usate dagli aggressori e controllare il traffico proveniente dagli indirizzi IP conosciuti associati agli attacchi.

La correzione permanente di questa falla non si ottiene con un semplice blocco server-side: è necessario aggiornare i dispositivi alle ultime versioni di firmware per ripristinare la piena sicurezza e consentire il ritorno del servizio SSO senza rischi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research