Segui 
L’anno 2026 è iniziato con una valanga di vulnerabilità zero-day, causando una minaccia per i difensori informatici. Subito dopo il zero-day di Microsoft Office (CVE-2026-21509) e una grave falla nei prodotti Cisco (CVE-2026-20045) che sono stati ripetutamente sfruttati per attacchi in-the-wild, Fortinet ha rivelato un altro grave problema, attirando immediatamente l’attenzione degli attori di minaccia.
Identificata come CVE‑2026‑24858, la falla SSO di FortiCloud consente agli aggressori che hanno un account FortiCloud e un dispositivo registrato di eludere l’autenticazione e ottenere l’accesso ad altri dispositivi associati a diversi account ogni volta che l’SSO è attivato.
Nel complesso, il 2025 Verizon Data Breach Investigations Report (DBIR) sottolinea un aumento del 34% nello sfruttamento delle vulnerabilità, rappresentando il 20% di tutte le violazioni dello scorso anno. In particolare, il tempo medio per lo sfruttamento massiccio delle vulnerabilità si sta riducendo, rendendo i zero-day una nuova normalità poiché spesso le exploitazioni su larga scala si scatenano prima della data ufficiale di pubblicazione del CVE.
Unisciti alla piattaforma SOC Prime, il più grande hub mondiale di Detection Intelligence, che fornisce un’intera pipeline dalla rilevazione delle minacce alla simulazione per migliorare le operazioni SOC e difendersi proattivamente contro APT, campagne di sfruttamento e minacce informatiche avanzate. Clicca Esplora le rilevazioni per accedere a una raccolta curata e ricca di contesto di regole di rilevamento che affrontano lo sfruttamento delle vulnerabilità, filtrate dai tag CVE pertinenti.
Tutte le regole sono mappate all’ultimo framework MITRE ATT&CK® v18.1 e sono compatibili con più piattaforme SIEM, EDR e Data Lake. Inoltre, ogni regola è arricchita con ampi metadati, inclusi CTI riferimenti, flussi di attacco, configurazioni di audit e altro.
I difensori informatici possono anche usare Uncoder AI per potenziare i loro flussi di lavoro di ingegneria della rilevazione. Trasforma i report delle minacce grezze in regole di comportamento attuabili, testa la tua logica di rilevamento, mappa i flussi di attacco, trasforma gli IOC in query di caccia o traduci istantaneamente il codice di rilevamento tra le lingue, supportato dalla potenza dell’AI e dall’esperienza approfondita di cybersecurity in ogni fase.
Analisi CVE-2026-24858
A fine gennaio 2026, Fortinet ha divulgato CVE‑2026‑24858, una falla critica in FortiOS, FortiManager e FortiAnalyzer che permette agli aggressori di bypassare il single sign-on (SSO) di FortiCloud e accedere ai dispositivi collegati ad altri account. La vulnerabilità sfrutta un percorso o canale alternativo, creando un rischio per qualsiasi sistema in cui l’SSO sia attivo.
FortiCloud SSO non è abilitato automaticamente sui nuovi dispositivi, ma può essere attivato quando gli amministratori registrano l’hardware a FortiCare tramite GUI. A meno che l’interruttore di registrazione per “Consenti accesso amministrativo utilizzando FortiCloud SSO” non sia disattivato manualmente, l’SSO diventa attivo, il che potrebbe esporre i dispositivi allo sfruttamento.
La vulnerabilità è stata attivamente mirata in the wild da almeno due account FortiCloud malevoli, che sono stati bloccati il 22 gennaio 2026. Per ridurre il rischio, Fortinet ha temporaneamente sospeso l’SSO di FortiCloud il 26 gennaio e l’ha ripristinato il giorno successivo solo sui dispositivi che erano stati patchati. Si raccomanda vivamente agli utenti di aggiornare il firmware all’ultima versione per continuare a utilizzare in sicurezza l’autenticazione SSO. FortiWeb e FortiSwitch Manager sono anche oggetto di valutazione per preoccupazioni di sicurezza correlate.
Questa divulgazione segue una serie di attacchi in cui attori di minaccia sconosciuti hanno abusato di un “nuovo percorso di attacco” per bypassare l’autenticazione SSO di FortiCloud senza credenziali. Il 20 gennaio 2026, diversi clienti Fortinet hanno segnalato che gli aggressori avevano ottenuto l’accesso ai loro firewall FortiGate e creato nuovi account amministrativi locali nonostante i sistemi eseguissero gli aggiornamenti più recenti di FortiOS. Questi dispositivi avevano già patchato CVE‑2025‑59718 e CVE‑2025‑59719, vulnerabilità precedenti che consentivano il bypass dell’SSO tramite messaggi SAML appositamente progettati su dispositivi esposti a internet. Fortinet ha confermato che queste violazioni recenti erano causate dal neoscoperto CVE‑2026‑24858, sottolineando il rischio continuo di bypass dell’autenticazione nei dispositivi abilitati per FortiCloud SSO.
A causa della sua natura critica, il CVE‑2026‑24858 è stato assegnato un punteggio CVSS di 9.4 e incluso nel catalogo delle Vulnerabilità Sfruttate Note di CISA, con la necessità di mitigazione richiesta per tutte le agenzie della Federal Civilian Executive Branch (FCEB) entro il 30 gennaio 2026.
Fortinet raccomanda fortemente a tutti gli utenti interessati di aggiornare immediatamente i dispositivi FortiOS, FortiManager e FortiAnalyzer alle ultime versioni patch e di seguire i passaggi di mitigazione descritti nell’avviso. Inoltre, i team SOC possono rafforzare le loro difese sfruttando la piattaforma di Detection Intelligence AI-Nativa di SOC Prime, che offre accesso al repository di contenuti di rilevamento più grande e aggiornato. La piattaforma consente ai team di integrare un’intera pipeline dalla rilevazione alla simulazione, orchestrare flussi di lavoro utilizzando il linguaggio naturale e navigare nel panorama delle minacce in continua evoluzione migliorando la sicurezza su larga scala.
