Blok Fortinet mengeksploitasi FortiCloud SSO zero day hingga patch siap

Fortinet telah mengkonfirmasi kerentanan bypass otentikasi sistem masuk tunggal (SSO) FortiCloud yang baru dan dieksploitasi secara aktif, dilacak sebagai CVE-2026-24858, dan mengatakan telah memitigasi serangan zero-day dengan memblokir koneksi SSO FortiCloud dari perangkat yang menjalankan versi firmware yang rentan.

Cacat ini memungkinkan penyerang menyalahgunakan SSO FortiCloud untuk mendapatkan akses administratif ke perangkat FortiOS, FortiManager, dan FortiAnalyzer yang didaftarkan ke pelanggan lain, bahkan ketika perangkat tersebut telah sepenuhnya ditambal terhadap kerentanan yang diungkapkan sebelumnya.

Konfirmasi datang setelahnya Pelanggan Fortinet melaporkan firewall FortiGate yang disusupi pada tanggal 21 Januari, dengan penyerang membuat akun administrator lokal baru melalui FortiCloud SSO pada perangkat yang menjalankan firmware terbaru yang tersedia.

Serangan tersebut awalnya dianggap melalui patch bypass CVE-2025-59718kelemahan bypass autentikasi SSO FortiCloud penting yang sebelumnya dieksploitasi dan telah ditambal pada bulan Desember 2025.

Admin Fortinet melaporkan bahwa para peretas masuk ke perangkat FortiGate melalui FortiCloud SSO menggunakan alamat email cloud-init@mail.io, lalu membuat akun admin lokal baru.

Kayu gelondongan yang dibagikan oleh pelanggan yang terkena dampak menunjukkan indikator serupa yang diamati selama eksploitasi pada bulan Desember.

Pada 22 Januari, perusahaan keamanan siber Serigala Arktik membenarkan serangan tersebutmengatakan serangan itu muncul secara otomatis, dengan admin nakal baru dan akun yang mendukung VPN dibuat dan konfigurasi firewall dieksfiltrasi dalam hitungan detik. Arctic Wolf mengatakan serangan itu tampak serupa dengan kampanye sebelumnya yang mengeksploitasi CVE-2025-59718 pada bulan Desember.

Fortinet mengonfirmasi jalur serangan alternatif

Pada tanggal 23 Januari, Fortinet membenarkan bahwa penyerang mengeksploitasi jalur autentikasi alternatif yang tetap ada bahkan pada sistem yang telah dipatch sepenuhnya.

Fortinet CISO Carl Windsor mengatakan perusahaannya telah mengamati kasus-kasus di mana perangkat yang menjalankan firmware terbaru telah disusupi, yang menunjukkan bahwa jalur serangan baru sedang dieksploitasi.

Meskipun Fortinet mengatakan eksploitasi hanya terlihat melalui SSO FortiCloud, pihaknya memperingatkan bahwa masalah ini juga berlaku untuk implementasi SSO berbasis SAML lainnya.

“Penting untuk dicatat bahwa saat ini, hanya eksploitasi SSO FortiCloud yang diamati, masalah ini berlaku untuk semua penerapan SSO SAML,” jelas Fortinet.

Pada saat itu, Fortinet menyarankan pelanggan untuk membatasi akses administratif ke perangkat mereka dan menonaktifkan SSO FortiCloud sebagai mitigasi.

Penasihat tersebut menyatakan bahwa Fortinet mengambil tindakan untuk mengurangi serangan saat patch sedang dikembangkan.

• Pada 22 JanuariFortinet menonaktifkan akun FortiCloud yang disalahgunakan oleh penyerang.
• Pada 26 JanuariFortinet menonaktifkan SSO FortiCloud secara global di sisi FortiCloud untuk mencegah penyalahgunaan lebih lanjut.
• Pada 27 JanuariAkses SSO FortiCloud telah dipulihkan tetapi dibatasi sehingga perangkat yang menjalankan firmware yang rentan tidak dapat lagi mengautentikasi melalui SSO.

Fortinet mengatakan perubahan sisi server ini secara efektif memblokir eksploitasi meskipun SSO FortiCloud tetap diaktifkan pada perangkat yang terpengaruh, jadi tidak ada yang perlu dilakukan di sisi klien hingga patch dirilis.

Pada tanggal 27 Januari, Fortinet juga menerbitkan a penasehat resmi PSIRT menetapkan CVE-2026-24858 sebagai kelemahannya, menilainya kritis dengan skor CVSS 9,4.

Kerentanannya adalah “Bypass Otentikasi Menggunakan Jalur atau Saluran Alternatif,” yang disebabkan oleh kontrol akses yang tidak tepat di SSO FortiCloud.

Menurut saran tersebut, penyerang dengan akun FortiCloud dan perangkat terdaftar dapat mengautentikasi ke perangkat pelanggan lain jika FortiCloud SSO diaktifkan.

Meskipun FortiCloud SSO tidak diaktifkan secara default, Fortinet mengatakan SSO akan otomatis aktif saat perangkat terdaftar di FortiCare, kecuali jika dinonaktifkan secara manual setelahnya.

Fortinet mengonfirmasi bahwa kerentanan tersebut dieksploitasi secara liar oleh dua akun SSO FortiCloud berbahaya berikut ini, yang dikunci pada 22 Januari.

  cloud-noc@mail.io  cloud-init@mail.io

Fortinet mengatakan bahwa setelah perangkat dibobol, mereka akan mengunduh file konfigurasi pelanggan dan membuat salah satu akun admin berikut:

  audit  backup  itadmin  secadmin  support  backupadmin  deploy  remoteadmin  security  svcadmin  system

Koneksi terlihat dibuat dari alamat IP berikut:

  104.28.244.115  104.28.212.114  104.28.212.115  104.28.195.105  104.28.195.106  104.28.227.106  104.28.227.105  104.28.244.114    Additional IPs observed by a third party, not Fortinet:    37[.]1.209.19  217[.]119.139.50

Perusahaan mengatakan patch masih dalam pengembangan, termasuk untuk FortiOS, FortiManager, dan FortiAnalyzer.

Hingga saat ini, FortiCloud SSO memblokir login dari perangkat yang rentan, sehingga administrator tidak perlu menonaktifkan fitur tersebut untuk mencegah eksploitasi.

Namun, Fortinet mengatakan hal ini dapat disalahgunakan dengan implementasi SSO SAML lainnya, admin mungkin ingin menonaktifkan fitur SSO untuk sementara waktu dengan perintah berikut:

  config system global      set admin-forticloud-sso-login disable  end

Fortinet juga mengatakan masih menyelidiki apakah FortiWeb dan FortiSwitch Manager terpengaruh oleh kelemahan tersebut.

Perusahaan memperingatkan bahwa pelanggan yang mendeteksi indikator penyusupan di atas dalam log mereka harus menganggap perangkat mereka telah disusupi sepenuhnya.

Fortinet merekomendasikan untuk meninjau semua akun administrator, memulihkan konfigurasi dari cadangan yang diketahui bersih, dan merotasi semua kredensial.