更新時間:2026/01/29 16:14:04
發佈時間:2026/01/29 16:14:04
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Fortinet發布安全公告指出,其FortiOS、FortiManager、FortiAnalyzer、FortiProxy及FortiWeb產品存在替代路徑或通道繞過身分驗證漏洞(CVE-2026-24858,CWE-288)。本漏洞為Fortinet於調查CVE-2025-59718及CVE-2025-59719修補後仍持續遭利用的攻擊事件時,所發現的另一項身分驗證繞過途徑。其成因為FortiCloud SSO認證機制於驗證流程中,未妥善檢核FortiCloud 帳號與目標裝置之間的關聯性,導致具備FortiCloud帳號且已註冊裝置的攻擊者,得以在目標裝置啟用FortiCloud SSO認證功能時,跨帳號登入原本不屬於其FortiCloud帳戶的裝置,進而取得管理員權限。
二、已揭露攻擊活動說明
1. Fortinet PSIRT表示已觀察此漏洞被利用於攻擊行為。
2. CISA已加入漏洞利用清單。[2]
三、F-ISAC彙整Fortinet PSIRT所提供入侵威脅指標如附檔。
▶ 漏洞資訊
⌵
名稱:
CVE-2026-24858
描述:
使用版本:CVSS 3.1
分析分數:9.4
參考來源: Fortinet
▶ 影響平台
⌵
影響平台-系統:
1. FortiAnalyzer 7.6:7.6.0~7.6.5版本受影響,建議升級至即將發布的7.6.6或以上版本。
2. FortiAnalyzer 7.4:7.4.0~7.4.9版本受影響,建議升級至7.4.10或以上版本。
3. FortiAnalyzer 7.2:7.2.0~7.2.11版本受影響,建議升級至即將發布的7.2.12或以上版本。
4. FortiAnalyzer 7.0:7.0.0~7.0.15版本受影響,建議升級至即將發布的7.0.16或以上版本。
5. FortiManager 7.6:7.6.0~7.6.5版本受影響,建議升級至即將發布的7.6.6或以上版本。
6. FortiManager 7.4:7.4.0~7.4.9版本受影響,建議升級至7.4.10或以上版本。
7. FortiManager 7.2:7.2.0~7.2.11版本受影響,建議升級至即將發布的7.2.13或以上版本。
8. FortiManager 7.0:7.0.0~7.0.15版本受影響,建議升級至即將發布的7.0.16或以上版本。
9. FortiOS 7.6:7.6.0~7.6.5版本受影響,建議升級至即將發布的7.6.6或以上版本。
10. FortiOS 7.4:7.4.0~7.4.10版本受影響,建議升級至7.4.11或以上版本。
11. FortiOS 7.2:7.2.0~7.2.12版本受影響,建議升級至7.2.13或以上版本。
12. FortiOS 7.0:7.0.0~7.0.18版本受影響,建議升級至7.0.19或以上版本。
13. FortiProxy 7.6:7.6.0~7.6.4版本受影響,建議升級至即將發布的7.6.6或以上版本。
14. FortiProxy 7.4:7.4.0~7.4.12版本受影響,建議升級至即將發布的7.4.13或以上版本。
15. FortiProxy 7.2:7.2所有版本受影響,所屬版本線已停止維護,不再提供安全更新。
16. FortiProxy 7.0:7.0所有版本受影響,所屬版本線已停止維護,不再提供安全更新。
17. FortiWeb 8.0:8.0.0~8.0.3版本受影響,建議升級至即將發布8.0.4或以上版本。
18. FortiWeb 7.6:7.6.0~7.6.6版本受影響,建議升級至即將發布7.6.7或以上版本。
19. FortiWeb 7.4:7.4.0~7.4.11版本受影響,建議升級至即將發布的7.4.12或以上版本。
▶ 建議措施
⌵
1. 官方已陸續發布修補程式,建議會員持續關注官方後續修補進度,並依據單位內漏洞管理機制進行相關作業。
2. 緩解措施:
(1) FortiCloud SSO已不再支援仍處於易受影響版本的設備登入,故目前無須於客戶端另行停用FortiCloud SSO功能。
(2) 原廠另提供下列方式,供參考停用FortiCloud SSO功能:
(a) FortiOS/FortiProxy:
於System/Settings中,將「Allow administrative login using FortiCloud SSO」設定為Off,或於CLI中執行下列指令:
config system global
set admin-forticloud-sso-login disable
end
(b) FortiManager/Analyzer:
於System/SAML SSO中,將「Allow admins to login with FortiCloud」設定為Off,或於CLI中執行下列指令:
config system saml
set forticloud-sso disable
end
3. 入侵威脅指標(IOC)檢查
(a) 建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施,並限制管理介面僅允許內部網路透過HTTPS方式連線。
(b) 審核管理員帳號清單,確認是否存在非預期新增或異常使用的帳號。
▶ IoC資料欄位
⌵
| 類別 | 內容 |
|---|---|
| IPv4 | 104.28.244.115 |
| IPv4 | 104.28.212.114 |
| IPv4 | 104.28.212.115 |
| IPv4 | 104.28.195.105 |
| IPv4 | 104.28.195.106 |
| IPv4 | 104.28.227.106 |
| IPv4 | 104.28.227.105 |
| IPv4 | 104.28.244.114 |
| IPv4 | 37.1.209.19 |
| IPv4 | 217.119.139.50 |
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://www.fortiguard.com/psirt/FG-IR-26-060 | Fortinet |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
情資編號:
FISAC-200-202601-0014
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞