Suivre 
L’année 2026 a commencé avec une avalanche de vulnérabilités zero-day, posant une menace pour les défenseurs cyber. Juste après le zero-day de Microsoft Office (CVE-2026-21509) et une faille critique dans les produits Cisco (CVE-2026-20045) qui ont été exploitées à plusieurs reprises pour des attaques in-the-wild, Fortinet a dévoilé un autre problème sérieux, attirant immédiatement l’attention des acteurs malveillants.
Identifiée comme CVE‑2026‑24858, la faille SSO de FortiCloud permet aux attaquants ayant un compte FortiCloud et un appareil enregistré de contourner l’authentification et d’accéder à d’autres appareils associés à différents comptes chaque fois que le SSO est activé.
Dans l’ensemble, le Rapport d’Investigations des Violations de Données de Verizon 2025 (DBIR) met en évidence une augmentation de 34 % de l’exploitation des vulnérabilités, représentant 20 % de toutes les violations l’année dernière. Notamment, le temps médian pour que les vulnérabilités soient exploitées massivement se réduit, rendant les zero-days une nouvelle norme alors que l’exploitation à grande échelle éclate souvent avant la date de publication officielle de la CVE.
Rejoignez la plateforme SOC Prime, le plus grand centre mondial d’intelligence de détection, fournissant un pipeline complet de la détection des menaces à la simulation pour améliorer vos opérations SOC et défendre proactivement contre les APT, les campagnes d’exploitation, et les menaces cyber avancées. Cliquez sur Explorer les détections pour accéder à une collection enrichie et contextualisée de règles de détection adressant l’exploitation des vulnérabilités, filtrées par les tags CVE pertinents.
Toutes les règles sont mappées sur la dernière version du cadre MITRE ATT&CK® v18.1 et sont compatibles avec plusieurs plateformes SIEM, EDR, et Data Lake. De plus, chaque règle est enrichie avec des métadonnées étendues, y compris CTI des références, des flux d’attaque, des configurations d’audit, et plus encore.
Les défenseurs cyber peuvent également utiliser l’IA Uncoder pour renforcer leurs workflows d’ingénierie de détection. Transformez les rapports de menaces bruts en règles de comportement exploitables, testez votre logique de détection, cartographiez les flux d’attaque, transformez les IOCs en requêtes de chasse, ou traduisez instantanément le code de détection entre les langues grâce à la puissance de l’IA et l’expertise profonde en cybersécurité à chaque étape.
Analyse de CVE-2026-24858
À la fin janvier 2026, Fortinet a dévoilé CVE‑2026‑24858, une faille critique dans FortiOS, FortiManager, et FortiAnalyzer qui permet aux attaquants de contourner le single sign-on (SSO) de FortiCloud et d’accéder aux appareils liés à d’autres comptes. La vulnérabilité utilise un chemin ou canal alternatif, créant un risque pour tout système où le SSO est actif.
Le SSO de FortiCloud n’est pas automatiquement activé sur les nouveaux appareils, mais il peut être activé lorsque les administrateurs enregistrent le matériel sur FortiCare via l’interface graphique. À moins que le bouton d’enregistrement pour “Permettre la connexion administrative en utilisant FortiCloud SSO” ne soit désactivé manuellement, le SSO devient actif, ce qui peut exposer les appareils à l’exploitation.
La vulnérabilité a été activement ciblée dans la nature par au moins deux comptes malveillants de FortiCloud, qui ont été bloqués le 22 janvier 2026. Pour réduire le risque, Fortinet a temporairement suspendu le SSO de FortiCloud le 26 janvier et l’a restauré le jour suivant uniquement sur les appareils qui avaient été patchés. Les utilisateurs sont fortement conseillés de mettre à jour leur firmware à la dernière version pour continuer à utiliser l’authentification SSO en toute sécurité. FortiWeb et FortiSwitch Manager sont également évalués pour des préoccupations de sécurité connexes.
Cette divulgation suit une série d’attaques dans lesquelles des acteurs de menace inconnus ont abusé d’un “nouveau chemin d’attaque” pour contourner l’authentification SSO de FortiCloud sans identifiants. Le 20 janvier 2026, plusieurs clients de Fortinet ont signalé que des attaquants avaient accédé à leurs pare-feux FortiGate et créé de nouveaux comptes administrateur local malgré le fait que les systèmes fonctionnent sur les mises à jour les plus récentes de FortiOS. Ces appareils avaient déjà patché CVE‑2025‑59718 et CVE‑2025‑59719, des vulnérabilités antérieures qui permettaient de contourner le SSO via des messages SAML spécialement conçus sur des appareils exposés à Internet. Fortinet a confirmé que ces récentes violations ont été causées par le CVE‑2026‑24858 récemment découvert, soulignant le risque continu de contournement de l’authentification dans les appareils activés pour le SSO de FortiCloud.
En raison de sa nature critique, CVE‑2026‑24858 a été attribué un score CVSS de 9.4 et inclus dans le catalogue des vulnérabilités exploitées connus de la CISA, avec la remédiation requise pour toutes les agences de la Federal Civilian Executive Branch (FCEB) d’ici le 30 janvier 2026.
Fortinet recommande fortement que tous les utilisateurs affectés mettent immédiatement à jour leurs appareils FortiOS, FortiManager, et FortiAnalyzer aux versions patchées les plus récentes et suivent les étapes d’atténuation décrites dans l’avis. De plus, les équipes SOC peuvent renforcer leurs défenses en exploitant la plateforme SOC Prime d’Intelligence de Détection Native IA, qui offre un accès au plus grand et au plus à jour répertoire de contenu de détection. La plateforme permet aux équipes d’intégrer un pipeline complet de la détection à la simulation, d’orchestrer les workflows en utilisant le langage naturel, et de naviguer dans le paysage des menaces en constante évolution tout en renforçant la sécurité à grande échelle.
