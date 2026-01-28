29/01/2026
IT-Connect » Actualités » Actu Cybersécurité » Fortinet coupe le SSO en attendant les patchs pour la nouvelle faille zero-day : CVE-2026-24858

Fortinet Zero-Day CVE-2026-24858
Actu Cybersécurité

Fortinet coupe le SSO en attendant les patchs pour la nouvelle faille zero-day : CVE-2026-24858

Florian BURNEL 0 commentaire

Fortinet a confirmé l'existence d'une nouvelle faille zero-day critique, activement exploitée, permettant de contourner l'authentification via FortiCloud SSO. Associée à la référence CVE-2026-24858, cette vulnérabilité touche les équipements FortiGate, FortiManager et FortiAnalyzer, y compris ceux qui étaient à jour des derniers correctifs. Voici ce que l'on sait.

Cette alerte a été donnée le 21 janvier 2026, lorsque plusieurs clients de Fortinet ont signalé des compromissions sur leurs pare-feux FortiGate. En effet, des pirates sont parvenus à créer des comptes administrateurs via l'authentification FortiCloud SSO, et ce, sur des firewalls exécutant pourtant les dernières versions de FortiOS.

Il semblait évident que les pirates étaient parvenus à contourner le correctif pour la CVE-2025-59718, une précédente faille critique liée à l'authentification SSO corrigée en décembre 2025. Les symptômes étaient similaires.

De son côté, le CISO de Fortinet, Carl Windsor, a confirmé l'existence d'attaques où des appareils entièrement patchés ont été compromis, révélant l'existence d'un chemin d'attaque alternatif. Les équipes de Fortinet ont pu identifier cette nouvelle vulnérabilité.

CVE-2026-24858 : la nouvelle zero day Fortinet

Cette nouvelle vulnérabilité, associée à la référence CVE-2026-24858 et à un score CVSS de 9.4/10 permet de contourner l'authentification à cause d'un contrôle d'accès inapproprié dans FortiCloud SSO. D'ailleurs, Fortinet précise que cette vulnérabilité est exploitable via FortiCloud SSO, mais aussi les implémentations SSO SAML d'une façon générale.

"Il est important de noter que, bien qu'à l'heure actuelle, seule l'exploitation de FortiCloud SSO ait été observée, ce problème est applicable à toutes les implémentations SAML SSO.", peut-on lire.

Le bulletin de sécurité met en évidence que cette faille de sécurité n'est pas limitée aux firewalls FortiGate. "Une vulnérabilité liée au contournement de l'authentification à l'aide d'un chemin ou d'un canal alternatif [CWE-288] dans FortiOS, FortiManager et FortiAnalyzer peut permettre à un attaquant disposant d'un compte FortiCloud et d'un appareil enregistré de se connecter à d'autres appareils enregistrés sur d'autres comptes, si l'authentification SSO FortiCloud est activée sur ces appareils.", précise Fortinet. Il est également noté que des investigations sont en cours pour FortiWeb et FortiSwitch Manager.

Pour endiguer l'hémorragie, Fortinet a réagi dans l'urgence :

  1. Désactivation des comptes FortiCloud malveillants le 22 janvier (notamment les comptes [email protected] et [email protected].),
  2. Désactivation globale du SSO côté serveur (FortiCloud) le 26 janvier,
  3. Restauration de l'accès SSO le 27 janvier, mais avec un blocage pour les équipements exécutant des firmwares vulnérables.

Fortinet a donc effectué un changement côté serveur pour bloquer les attaques. Autrement dit, même si l'authentification FortiCloud SSO est activée sur votre équipement Fortinet, la CVE-2026-24858 ne peut pas être exploitée.

En attendant les correctifs...

À l'heure actuelle, les correctifs pour FortiOS, FortiManager et FortiAnalyzer sont toujours en cours de développement. Toutefois, comme je l'évoquais précédemment, Fortinet a mis en place un blocage côté serveur (sur l'infrastructure FortiCloud) pour empêcher l'exploitation de la faille via le SSO natif.

Toutefois, cette action effectuée par Fortinet ne s'applique pas aux autres implémentations SAML. Alors, même si ce n'est pas exploité à ce jour par les attaquants, il est préférable de s'en protéger en désactivant la fonctionnalité.

config system saml
    set forticloud-sso disable
end

Voici la liste des versions affectées et des patchs à venir :

Produit / BrancheVersions affectéesSolution
FortiAnalyzer 7.67.6.0 à 7.6.5Mettre à jour vers 7.6.6 (à venir) ou ultérieure
FortiAnalyzer 7.47.4.0 à 7.4.9Mettre à jour vers 7.4.10 ou ultérieure
FortiAnalyzer 7.27.2.0 à 7.2.11Mettre à jour vers 7.2.12 (à venir) ou ultérieure
FortiAnalyzer 7.07.0.0 à 7.0.15Mettre à jour vers 7.0.16 (à venir) ou ultérieure
FortiAnalyzer 6.4Non affecté-
FortiManager 7.67.6.0 à 7.6.5Mettre à jour vers 7.6.6 (à venir) ou ultérieure
FortiManager 7.47.4.0 à 7.4.9Mettre à jour vers 7.4.10 ou ultérieure
FortiManager 7.27.2.0 à 7.2.11Mettre à jour vers 7.2.13 (à venir) ou ultérieure
FortiManager 7.07.0.0 à 7.0.15Mettre à jour vers 7.0.16 (à venir) ou ultérieure
FortiManager 6.4Non affecté-
FortiOS 7.67.6.0 à 7.6.5Mettre à jour vers 7.6.6 (à venir) ou ultérieure
FortiOS 7.47.4.0 à 7.4.10Mettre à jour vers 7.4.11 ou ultérieure
FortiOS 7.27.2.0 à 7.2.12Mettre à jour vers 7.2.13 (à venir) ou ultérieure
FortiOS 7.07.0.0 à 7.0.18Mettre à jour vers 7.0.19 (à venir) ou ultérieure
FortiOS 6.4Non affecté-
FortiProxy 7.67.6.0 à 7.6.4Mettre à jour vers 7.6.6 (à venir) ou ultérieure
FortiProxy 7.47.4.0 à 7.4.12Mettre à jour vers 7.4.13 (à venir) ou ultérieure
FortiProxy 7.27.2 (toutes versions)Migrer vers une version corrigée
FortiProxy 7.07.0 (toutes versions)Migrer vers une version corrigée

N'oubliez pas de consulter les journaux de vos équipements et vérifiez la configuration à la recherche de comptes admins anormaux.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Alerte sécurité Ivanti Connect Secure janvier 2024

Les failles dans Ivanti Connect Secure exploitées massivement ! Près de 100 victimes en France !

Florian BURNEL 0
Cisco AnyConnect - CVE-2023-20178 - Exploit PoC

Un exploit PoC mis en ligne pour la faille critique dans Cisco Secure Client (AnyConnect)

Florian BURNEL 0
Outil de déchiffrement Ransomware Tortilla

Un nouvel outil de déchiffrement pour le ransomware Tortilla, une variante de Babuk

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.