Fortinet a confirmé l’existence d’une nouvelle faille zero-day critique, activement exploitée, permettant de contourner l’authentification via FortiCloud SSO. Associée à la référence CVE-2026-24858, cette vulnérabilité touche les équipements FortiGate, FortiManager et FortiAnalyzer, y compris ceux qui étaient à jour des derniers correctifs. Voici ce que l’on sait.
Cette alerte a été donnée le 21 janvier 2026, lorsque plusieurs clients de Fortinet ont signalé des compromissions sur leurs pare-feux FortiGate. En effet, des pirates sont parvenus à créer des comptes administrateurs via l’authentification FortiCloud SSO, et ce, sur des firewalls exécutant pourtant les dernières versions de FortiOS.
Il semblait évident que les pirates étaient parvenus à contourner le correctif pour la CVE-2025-59718, une précédente faille critique liée à l’authentification SSO corrigée en décembre 2025. Les symptômes étaient similaires.
De son côté, le CISO de Fortinet, Carl Windsor, a confirmé l’existence d’attaques où des appareils entièrement patchés ont été compromis, révélant l’existence d’un chemin d’attaque alternatif. Les équipes de Fortinet ont pu identifier cette nouvelle vulnérabilité.
CVE-2026-24858 : la nouvelle zero day Fortinet
Cette nouvelle vulnérabilité, associée à la référence CVE-2026-24858 et à un score CVSS de 9.4/10 permet de contourner l’authentification à cause d’un contrôle d’accès inapproprié dans FortiCloud SSO. D’ailleurs, Fortinet précise que cette vulnérabilité est exploitable via FortiCloud SSO, mais aussi les implémentations SSO SAML d’une façon générale.
“Il est important de noter que, bien qu’à l’heure actuelle, seule l’exploitation de FortiCloud SSO ait été observée, ce problème est applicable à toutes les implémentations SAML SSO.”, peut-on lire.
Le bulletin de sécurité met en évidence que cette faille de sécurité n’est pas limitée aux firewalls FortiGate. “Une vulnérabilité liée au contournement de l’authentification à l’aide d’un chemin ou d’un canal alternatif [CWE-288] dans FortiOS, FortiManager et FortiAnalyzer peut permettre à un attaquant disposant d’un compte FortiCloud et d’un appareil enregistré de se connecter à d’autres appareils enregistrés sur d’autres comptes, si l’authentification SSO FortiCloud est activée sur ces appareils.”, précise Fortinet. Il est également noté que des investigations sont en cours pour FortiWeb et FortiSwitch Manager.
Pour endiguer l’hémorragie, Fortinet a réagi dans l’urgence :
Désactivation des comptes FortiCloud malveillants le 22 janvier (notamment les comptes [email protected] et [email protected].),
Désactivation globale du SSO côté serveur (FortiCloud) le 26 janvier,
Restauration de l’accès SSO le 27 janvier, mais avec un blocage pour les équipements exécutant des firmwares vulnérables.
Fortinet a donc effectué un changement côté serveur pour bloquer les attaques. Autrement dit, même si l’authentification FortiCloud SSO est activée sur votre équipement Fortinet, la CVE-2026-24858 ne peut pas être exploitée.
En attendant les correctifs…
À l’heure actuelle, les correctifs pour FortiOS, FortiManager et FortiAnalyzer sont toujours en cours de développement. Toutefois, comme je l’évoquais précédemment, Fortinet a mis en place un blocage côté serveur (sur l’infrastructure FortiCloud) pour empêcher l’exploitation de la faille via le SSO natif.
Toutefois, cette action effectuée par Fortinet ne s’applique pas aux autres implémentations SAML. Alors, même si ce n’est pas exploité à ce jour par les attaquants, il est préférable de s’en protéger en désactivant la fonctionnalité.
config system saml
set forticloud-sso disable
end
Voici la liste des versions affectées et des patchs à venir :
Produit / BrancheVersions affectéesSolutionFortiAnalyzer 7.67.6.0 à 7.6.5Mettre à jour vers 7.6.6 (à venir) ou ultérieureFortiAnalyzer 7.47.4.0 à 7.4.9Mettre à jour vers 7.4.10 ou ultérieureFortiAnalyzer 7.27.2.0 à 7.2.11Mettre à jour vers 7.2.12 (à venir) ou ultérieureFortiAnalyzer 7.07.0.0 à 7.0.15Mettre à jour vers 7.0.16 (à venir) ou ultérieureFortiAnalyzer 6.4Non affecté-FortiManager 7.67.6.0 à 7.6.5Mettre à jour vers 7.6.6 (à venir) ou ultérieureFortiManager 7.47.4.0 à 7.4.9Mettre à jour vers 7.4.10 ou ultérieureFortiManager 7.27.2.0 à 7.2.11Mettre à jour vers 7.2.13 (à venir) ou ultérieureFortiManager 7.07.0.0 à 7.0.15Mettre à jour vers 7.0.16 (à venir) ou ultérieureFortiManager 6.4Non affecté-FortiOS 7.67.6.0 à 7.6.5Mettre à jour vers 7.6.6 (à venir) ou ultérieureFortiOS 7.47.4.0 à 7.4.10Mettre à jour vers 7.4.11 ou ultérieureFortiOS 7.27.2.0 à 7.2.12Mettre à jour vers 7.2.13 (à venir) ou ultérieureFortiOS 7.07.0.0 à 7.0.18Mettre à jour vers 7.0.19 (à venir) ou ultérieureFortiOS 6.4Non affecté-FortiProxy 7.67.6.0 à 7.6.4Mettre à jour vers 7.6.6 (à venir) ou ultérieureFortiProxy 7.47.4.0 à 7.4.12Mettre à jour vers 7.4.13 (à venir) ou ultérieureFortiProxy 7.27.2 (toutes versions)Migrer vers une version corrigéeFortiProxy 7.07.0 (toutes versions)Migrer vers une version corrigée
N’oubliez pas de consulter les journaux de vos équipements et vérifiez la configuration à la recherche de comptes admins anormaux.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.