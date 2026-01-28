Fortinet waarschuwt organisaties voor een actief aangevallen kritieke kwetsbaarheid in FortiOS en andere producten waardoor een aanvaller toegang tot systemen kan krijgen. Er zijn voor verschillende productversies updates beschikbaar gesteld om het probleem (CVE-2026-24858) te verhelpen, maar sommige versies wachten nog op een patch. De kwetsbaarheid maakt het mogelijk voor aanvallers met een FortiCloud-account en een geregistreerd apparaat om op andere apparaten in te loggen die aan andere accounts zijn gekoppeld, als FortiCloud SSO-authenticatie voor deze apparaten staat ingeschakeld.

Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Fortinet zegt dat het twee malafide Fortinet-accounts heeft ontdekt die misbruik van de kwetsbaarheid maakten. Deze accounts werden op 22 januari door Fortinet uitgeschakeld. Hoeveel apparaten via deze accounts zijn gecompromitteerd laat Fortinet niet weten.

Fortinet besloot op 26 januari FortiCloud SSO aan de FortiCloud-kant uit te schakelen waardoor klanten de inlogmethode niet konden gebruiken. Een dag later werd de inlogmethode weer ingeschakeld, behalve voor apparaten die een kwetsbare versie draaien. Klanten moeten daardoor hun Fortinet-producten updaten als ze via Fortinet SSO willen kunnen inloggen.

CVE-2026-24858 is aanwezig in FortiAnalyzer, FortiManager, FortiOS en FortiProxy. Voor verschillende versies van deze producten zijn beveiligingsupdates beschikbaar gesteld, maar voor sommige versies is een patch nog niet beschikbaar. Verder stelt Fortinet dat wordt onderzocht of FortiWeb en FortiSwitch Manager ook kwetsbaar zijn. Verder heeft Fortinet ook Indicators of Compromise beschikbaar gesteld waarmee organisatie kunnen controleren of hun Fortinet-producten zijn gecompromitteerd. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de updates voor 30 januari te installeren.