Fortinet零日漏洞CVE-2026-24858遭積極利用 緊急停用FortiCloud SSO防惡意登入
回到上一頁

Fortinet零日漏洞CVE-2026-24858遭積極利用 緊急停用FortiCloud SSO防惡意登入

2026-01-29
全球網路安全大廠Fortinet今日證實,一個全新零日漏洞CVE-2026-24858正被積極利用,導致FortiCloud單一登入(SSO)功能遭濫用,攻擊者可不需密碼直接以管理員身分登入受害裝置。此漏洞影響FortiOS、FortiManager、FortiAnalyzer、FortiProxy與FortiWeb等多款核心產品,CVSS嚴重性評分高達9.8(Critical)。為阻斷持續攻擊,Fortinet於1月26日採取極端措施,暫時全面停用所有帳號與裝置的FortiCloud SSO登入功能,隔日才恢復但已限制漏洞版本裝置使用。資安專家警告,此事件顯示Fortinet連續兩個月內爆發SSO繞過漏洞,對台灣企業邊緣防護與關鍵基礎設施構成重大威脅。
 
Fortinet於1月28日發布正式安全公告,揭露CVE-2026-24858為認證繞過漏洞(Authentication Bypass)。只要攻擊者擁有有效的FortiCloud帳號,並知悉目標裝置已註冊至FortiCloud且啟用SSO登入,即可偽裝成合法管理員,直接登入受害FortiGate防火牆或其他裝置,無需任何憑證驗證。公告指出,FortiCloud SSO預設並未啟用,但當管理員透過裝置GUI介面註冊至FortiCare支援服務時,若未主動關閉「Allow administrative login using FortiCloud SSO」選項,系統會自動啟用該功能,從而覆蓋預設關閉狀態。
 
美國網路安全暨基礎設施安全局(CISA)已於同日將CVE-2026-24858列入「已知被利用漏洞」(Known Exploited Vulnerabilities,KEV)目錄,要求聯邦機構於規定期限內完成修補。Shadowserver Foundation掃描顯示,全球約有1萬台Fortinet裝置公開暴露FortiCloud SSO功能,雖然較去年12月中旬CVE-2025-59718事件高峰期的2.5萬台大幅下降,但仍構成顯著攻擊面。
 
此零日漏洞的曝光,源自近期Fortinet裝置持續發生惡意SSO登入事件。去年12月初,Fortinet曾緊急修補另一個SSO繞過漏洞CVE-2025-59718,並遭野外積極利用。CISA隨即列入KEV目錄。然而,上週Reddit r/Fortinet社群用戶回報,即使裝置已套用該修補,惡意登入仍持續發生。Arctic Wolf Labs於1月21日報告指出,不明威脅行為者透過SSO登入FortiGate防火牆,進行組態變更等惡意操作。
 
Fortinet資安長(CISO)Carl Windsor於上週四部落格發文表示,公司已觀察到修補後裝置仍遭攻擊,正調查是否出現「新攻擊路徑」(new attack path)。部落格後續更新確認,此問題僅影響FortiCloud SSO,不波及第三方SAML身分提供者(IdP)或FortiAuthenticator實作。此說法與初版公告有所修正,初版曾誤稱所有SAML SSO皆受影響。Fortinet尚未公開CVE-2026-24858技術細節,因此目前無法確認其與CVE-2025-59718的關聯性。
 
威脅情資廠商SOCRadar在今日部落格指出,CVE-2026-24858風險極高。FortiGate等產品常位於企業網路邊緣,一旦遭未授權管理員存取,攻擊者可修改防火牆規則、建立後門帳號、竊取敏感組態,甚至作為跳板入侵內網,造成長期安全隱患。SOCRadar呼籲,企業應視此為「邊緣裝置管理權限失守」的嚴重警訊。
 
為阻斷攻擊,Fortinet於1月22日先停用兩個已確認用於攻擊的FortiCloud帳號。1月26日更進一步全面暫停FortiCloud SSO功能,影響所有帳號與裝置。1月27日恢復後,系統已阻擋漏洞版本裝置使用SSO登入,Fortinet因此表示「目前無需在客戶端手動停用FortiCloud SSO」。官方強烈建議客戶立即升級所有受影響產品至已修補版本,並正在調查FortiSwitch Manager是否同樣受影響。
 
對台灣企業影響尤為顯著。台灣擁有大量Fortinet用戶,涵蓋金融、製造、科技、醫療與政府單位,FortiGate防火牆更是許多企業邊緣防護主力。連續兩個月爆發SSO漏洞,顯示供應鏈安全與快速修補的挑戰。資安專家建議台灣企業採取以下緊急應變措施:
 
  1. 立即檢查所有Fortinet裝置是否啟用FortiCloud SSO,若啟用且版本仍受影響,應優先升級韌體。
  2. 暫時關閉FortiCloud SSO登入(System > Administrators > SSO Settings),改用本地帳號或第三方SAML IdP。
  3. 啟用多因素驗證(MFA)於所有管理介面,並監控異常登入紀錄。
  4. 限制管理介面僅允許可信任IP存取,並置於VPN或堡壘主機後。
  5. 定期掃描暴露埠,確保TCP/443等管理服務未公開暴露。
  6. 參考CISA與Fortinet公告,制定修補優先順序,特別針對邊緣裝置。
此事件也反映全球資安趨勢:零日漏洞與供應鏈攻擊正成為國家級與犯罪集團首選。Fortinet作為全球前五大資安廠商,其產品遭連續攻擊,勢必引發客戶對品牌信任度的討論。企業在選擇網路安全方案時,應更重視廠商的漏洞回應速度與透明度。
 
Fortinet表示將持續調查,並承諾提供更多技術細節。資安社群普遍認為,此波攻擊可能來自具資源的進階持續性威脅(APT)團體,目標為竊取企業組態或作為初始存取點。台灣政府與企業應加強與國際情資共享,防範類似事件擴大。
 
 
出處: 基於Dark Reading文章《Fortinet Confirms New Zero-Day Behind Malicious SSO Logins》,作者Rob Wright,發布日期2026年1月29日;並參考Fortinet官方PSIRT公告、CISA KEV目錄、SOCRadar威脅情資部落格、Arctic Wolf Labs報告、Shadowserver Foundation警報,以及Reddit r/Fortinet社群討論。