Fortinet、FortiCloud SSOの管理者ログインに認証バイパス 脆弱性、サイバー攻撃による実害も(CVE-2026-24858)

セキュリティニュース

投稿日時: 更新日時:

Fortinet、FortiCloud SSOの管理者ログインに認証バイパス 脆弱性、サイバー攻撃による実害も(CVE-2026-24858)

Fortinetは2026年1月27日、FortiCloud SSO(FortiCloudのSSO)を用いた管理者ログイン機能に関する認証バイパスの脆弱性(CVE-2026-24858)を公表しました。FortiOS/FortiManager/FortiAnalyzer/FortiProxy/FortiWebに影響し、FortiCloudアカウントと登録済みデバイスを持つ攻撃者が、FortiCloud SSO認証が有効な他者アカウントのデバイスへログインできる可能性があるとしています。深刻度はCriticalで、CVSSv3は9.4です。

脆弱性の概要

本件は「別経路/別チャネルを使った認証バイパス(CWE-288)」に分類され、FortiCloud SSOを管理者ログインに使う構成で、認可(アクセス制御)が不適切になることで越権ログインにつながる可能性があります。攻撃成立には「FortiCloudアカウント」と「登録済みデバイス」が必要とされますが、条件を満たす攻撃者が、他アカウントに紐づくデバイスへログインできる点が問題です。

初期設定では無効だが、登録時に有効化されやすい点に注意

FortiCloud SSOによる管理者ログインは工場出荷状態では有効ではありません。

一方で、管理者がGUIからFortiCareにデバイス登録する際、登録画面の「Allow administrative login using FortiCloud SSO」を明示的にオフにしない場合、登録と同時にFortiCloud SSOログインが有効化される挙動が説明されています。結果として、意図せずFortiCloud SSOを有効にしたまま運用している環境が生まれやすい点が実務上のリスクになります。

悪用状況とFortinet側の緊急措置

Fortinetは、本件が2つの悪性FortiCloudアカウントにより「実環境で悪用されていた」とし、当該アカウントを2026年1月22日にロックアウトしたとしています。さらに追加被害を抑止するため、FortiCloud側でFortiCloud SSOを2026年1月26日に一時無効化し、翌27日に再有効化しました。

再有効化後は「脆弱なバージョンを実行しているデバイスからのログインをサポートしない」動作に変更されたため、FortiCloud SSO認証を継続利用するには、後述の修正版へアップグレードが必須になります。

影響を受けない範囲

Fortinetは影響しないケースとして、以下を挙げています。

  • FortiManager Cloud/FortiAnalyzer Cloud/FortiGate Cloudは影響なし

  • FortiCloudではなくカスタムIdP(例:FortiAuthenticatorを含む)を用いたSSO構成は影響なし

  • FortiSwitch Managerは調査中

脆弱性の対象バージョン

以下は、FortiCloud SSO管理者ログインを有効にしている場合に影響を受ける対象範囲です。

  • FortiAnalyzer:7.6.0〜7.6.5、7.4.0〜7.4.9、7.2.0〜7.2.11、7.0.0〜7.0.15

  • FortiManager:7.6.0〜7.6.5、7.4.0〜7.4.9、7.2.0〜7.2.11、7.0.0〜7.0.15

  • FortiOS:7.6.0〜7.6.5、7.4.0〜7.4.10、7.2.0〜7.2.12、7.0.0〜7.0.18

  • FortiProxy:7.6.0〜7.6.4、7.4.0〜7.4.12、7.2系全て、7.0系全て

  • FortiWeb:8.0.0〜8.0.3、7.6.0〜7.6.6、7.4.0〜7.4.11

(参考:FortiOS 8.0/FortiOS 6.4/FortiManager 6.4/FortiAnalyzer 6.4/FortiWeb 7.2・7.0は「Not affected」と整理されています)

対策バージョン(Solution)

Fortinetは、FortiCloud SSOを継続利用するために、以下の修正版(または予定版)への更新を求めています。

  • FortiAnalyzer:7.4.10以上、7.6.6以上(予定)、7.2.12以上(予定)、7.0.16以上(予定)

  • FortiManager:7.4.10以上、7.6.6以上(予定)、7.2.13以上(予定)、7.0.16以上(予定)

  • FortiOS:7.4.11以上、7.6.6以上(予定)、7.2.13以上(予定)、7.0.19以上(予定)

  • FortiProxy:7.6.6以上(予定)、7.4.13以上(予定)、7.2/7.0は「修正版へ移行(migrate)」

  • FortiWeb:8.0.4以上(予定)、7.6.7以上(予定)、7.4.12以上(予定)

FortiCloud側の制御により、脆弱バージョンのままではFortiCloud SSOログインが成立しないため、SSOを使い続ける運用では更新計画の前倒しが必要になります。

回避策(ワークアラウンド)と現在の扱い

Fortinetは「脆弱バージョンからのFortiCloud SSOログインはすでにサポートされない」ため、現時点ではクライアント側でFortiCloud SSOを無効化する必要はないとしています。とはいえ、構成を明確にする目的で無効化する場合の手順も示されています。

  • FortiOS/FortiProxy:GUIの設定で「Allow administrative login using FortiCloud SSO」をOff、またはCLIで無効化

  • FortiManager/FortiAnalyzer:SAML SSO設定で「Allow admins to login with FortiCloud」をOff、またはCLIで無効化

IoC(侵害指標)と想定される攻撃者の行動

1) 侵害に使われたSSOログインアカウント(観測例)

今後変更される可能性がある前提で、FortiCloud SSOログイン履歴の棚卸しが推奨されます。

2) 観測された送信元IP(Fortinet観測)

  • 104.28.244.115

  • 104.28.212.114

  • 104.28.212.115

  • 104.28.195.105

  • 104.28.195.106

  • 104.28.227.106

  • 104.28.227.105

  • 104.28.244.114

攻撃者がCloudflare保護IPへ切り替えた可能性にも触れられているため、IP一致だけで除外せず、ログイン後の挙動も合わせて確認する運用が現実的です。

3) 第三者が追加で観測したIP(Fortinet外の情報として記載)

  • 37.1.209.19

  • 217.119.139.50

4) ローカル管理者アカウント作成(永続化の兆候)

SSOで侵入後、ローカル管理者を作って永続化する動きが観測されており、以下のような名称が例示されています(変化しているため、想定外の管理者アカウント全般を点検する方針が推奨です)。

  • audit / backup / itadmin / secadmin / support / backupadmin / deploy / remoteadmin / security / svcadmin / system(など)

5) 主要な攻撃目的(Fortinet記載)

  • 顧客設定ファイルのダウンロード

  • 管理者アカウント追加による永続化