Folgen 
Das Jahr 2026 hat mit einer Lawine von Zero-Day-Schwachstellen begonnen, die eine Bedrohung für Cyber-Verteidiger darstellen. Gleich nach der Microsoft Office Zero-Day (CVE-2026-21509) und einer kritischen Schwachstelle in Cisco-Produkten (CVE-2026-20045), die wiederholt für Angriffe in freier Wildbahn ausgenutzt wurden, hat Fortinet ein weiteres ernsthaftes Problem offengelegt, das sofort die Aufmerksamkeit von Bedrohungsakteuren auf sich zog.
Identifiziert als CVE‑2026‑24858, ermöglicht der FortiCloud SSO-Fehler Angreifern, die über ein FortiCloud-Konto und ein registriertes Gerät verfügen, die Authentifizierung zu umgehen und Zugang zu anderen Geräten zu erhalten, die mit verschiedenen Konten verknüpft sind, sobald SSO aktiviert ist.
Insgesamt hebt der 2025 Verizon Data Breach Investigations Report (DBIR) einen Anstieg der Ausnutzung von Schwachstellen um 34 % hervor, der im letzten Jahr 20 % aller Verstöße ausmachte. Bemerkenswert ist, dass die mittlere Zeitspanne, bis Schwachstellen massenhaft ausgenutzt werden, abnimmt, wodurch Zero-Days zur neuen Normalität werden, da groß angelegte Ausnutzungen häufig vor dem offiziellen CVE-Veröffentlichungsdatum ausbrechen.
Treten Sie der SOC Prime-Plattform bei, dem weltweit größten Hub für Detection Intelligence, der eine vollständige Pipeline vom Bedrohungserkennung bis zur Simulation bietet, um Ihre SOC-Operationen zu verbessern und proaktiv gegen APTs, Ausnutzungskampagnen und fortgeschrittene Cyber-Bedrohungen zu verteidigen. Klicken Sie auf Erkundung der Erkennungen , um auf eine kuratierte, kontextreiche Sammlung von Erkennungsregeln zuzugreifen, die sich mit der Ausnutzung von Schwachstellen befassen und nach den relevanten CVE-Tags gefiltert sind.
Alle Regeln sind an den neuesten MITRE ATT&CK® Rahmenwerk v18.1 angepasst und kompatibel mit mehreren SIEM-, EDR- und Data-Lake-Plattformen. Zusätzlich wird jede Regel mit umfassenden Metadaten angereichert, einschließlich CTI Referenzen, Angriffsflüssen, Prüfanordnungen und mehr.
Cyber-Verteidiger können auch Uncoder AI nutzen, um ihre Erkennungs-Engineering-Workflows zu stärken. Verwandeln Sie Rohbedrohungsberichte in umsetzbare Verhaltensregeln, testen Sie Ihre Erkennungslösungen, planen Sie Angriffsflüsse, verwandeln Sie IOCs in Jagdanfragen oder übersetzen Sie Erkennungscode sofort in andere Sprachen, unterstützt von der Kraft der KI und tiefgreifender Cybersicherheitsexpertise in jedem Schritt.
CVE-2026-24858-Analyse
Ende Januar 2026 offengelegt Fortinet CVE‑2026‑24858, einen kritischen Fehler in FortiOS, FortiManager und FortiAnalyzer, der es Angreifern ermöglicht, das FortiCloud-Single-Sign-On (SSO) zu umgehen und auf Geräte zuzugreifen, die mit anderen Konten verknüpft sind. Die Schwachstelle nutzt einen alternativen Pfad oder Kanal, sodass für jedes System, auf dem SSO aktiviert ist, ein Risiko entsteht.
FortiCloud SSO ist standardmäßig nicht auf neuen Geräten aktiviert, kann jedoch aktiviert werden, wenn Administratoren Hardware über die GUI bei FortiCare registrieren. Sofern der Registrierungsschalter für „Verwaltungsanmeldung mit FortiCloud SSO zulassen“ nicht manuell deaktiviert wird, wird SSO aktiv, was möglicherweise Geräte anfällig für Ausnutzung macht.
Die Schwachstelle wurde in freier Wildbahn von mindestens zwei böswilligen FortiCloud-Konten aktiv ausgenutzt, die am 22. Januar 2026 gesperrt wurden. Um das Risiko zu minimieren, hat Fortinet FortiCloud SSO vorübergehend am 26. Januar ausgesetzt und es am nächsten Tag nur auf Geräten, die gepatcht wurden, wiederhergestellt. Es wird dringend empfohlen, die Firmware auf die neueste Version zu aktualisieren , um SSO-Authentifizierung sicher weiter verwenden zu können. FortiWeb und FortiSwitch Manager werden ebenfalls auf verwandte Sicherheitsbedenken geprüft.
Diese Offenlegung folgt auf eine Reihe von Angriffen, bei denen unbekannte Bedrohungsakteure einen „neuen Angriffsweg“ ausnutzten, um die FortiCloud SSO-Authentifizierung ohne Anmeldeinformationen zu umgehen. Am 20. Januar 2026 meldeten mehrere Fortinet-Kunden, dass Angreifer Zugang zu ihren FortiGate-Firewalls erhalten hatten und neue lokale Admin-Konten erstellten, obwohl die Systeme die aktuellsten FortiOS-Updates ausführten. Diese Geräte hatten CVE‑2025‑59718 und CVE‑2025‑59719 bereits gepatcht, vorherige Schwachstellen, die SSO-Umgehung durch speziell angefertigte SAML-Nachrichten auf Internet-exponierten Geräten ermöglichten. Fortinet bestätigte, dass diese jüngsten Verstöße durch die neu entdeckte CVE‑2026‑24858 verursacht wurden, was die anhaltende Gefahr der Authentifizierungsumgehung in FortiCloud SSO-fähigen Geräten unterstreicht.
Aufgrund seiner kritischen Natur wurde CVE‑2026‑24858 mit einem CVSS-Wert von 9,4 bewertet und in den von CISA bekannten Katalog mit ausgenutzten Schwachstellen aufgenommen, wobei Abhilfemaßnahmen für alle Agenturen der Federal Civilian Executive Branch (FCEB) bis zum 30. Januar 2026 erforderlich sind.
Fortinet empfiehlt dringend, dass alle betroffenen Nutzer ihre FortiOS-, FortiManager- und FortiAnalyzer-Geräte umgehend auf die neuesten gepatchten Versionen aktualisieren und die im Hinweis beschriebenen Maßnahmen zur Abschwächung befolgen. Zusätzlich können SOC-Teams ihre Abwehrkräfte stärken, indem sie die AI-Native Detection Intelligence Plattform von SOC Primenutzen, die Zugang zum größten und aktuellsten Repository von Erkennungsinhalten bietet. Die Plattform ermöglicht es Teams, eine vollständige Pipeline von der Erkennung zur Simulation zu integrieren, Arbeitsabläufe mit natürlicher Sprache zu orchestrieren und sich in der sich ständig weiterentwickelnden Bedrohungslandschaft zu orientieren und gleichzeitig die Sicherheit im großen Maßstab zu verbessern.
