【安全资讯】Fortinet紧急阻断被利用的FortiCloud SSO零日漏洞攻击

概要：

近日，网络安全厂商Fortinet确认其FortiCloud单点登录（SSO）服务中存在一个正被积极利用的严重身份验证绕过零日漏洞（CVE-2026-24858）。该漏洞允许攻击者通过FortiCloud SSO获得对其他客户FortiOS、FortiManager和FortiAnalyzer设备的完全管理权限，影响范围广泛。在补丁发布前，Fortinet已通过服务器端变更主动阻断来自易受攻击设备的SSO连接，以遏制攻击蔓延。

主要内容：

此次攻击事件始于2026年1月21日，Fortinet客户报告其运行最新固件的FortiGate防火墙被入侵。攻击者利用恶意FortiCloud账户（如cloud-init@mail.io）通过SSO登录设备，并在数秒内创建新的本地管理员账户（如audit、backupadmin等）并窃取防火墙配置。网络安全公司Arctic Wolf分析认为攻击过程高度自动化。

技术分析表明，该漏洞属于“使用替代路径或通道进行身份验证绕过”，根源在于FortiCloud SSO的访问控制机制存在缺陷。即使设备已针对先前漏洞（CVE-2025-59718）完全打补丁，攻击者仍能利用此替代认证路径获得未授权访问。该问题理论上影响所有基于SAML的SSO实现。

为缓解威胁，Fortinet采取了一系列紧急措施：1月22日锁定恶意账户；1月26日全局禁用FortiCloud SSO；1月27日恢复服务但限制易受攻击固件设备的认证。此举在服务器端有效阻断了利用链。Fortinet建议管理员检查日志中是否存在相关恶意IP地址（如104.28.244.115等）和账户，并将受影响设备视为已完全失陷。

目前，针对FortiOS等产品的补丁仍在开发中。Fortinet建议受影响用户审查所有管理员账户、从干净备份恢复配置并更新所有凭证。同时，可通过命令行临时禁用FortiCloud SSO登录功能作为额外防护。此次事件凸显了云身份验证服务中的关键安全风险。