đŸ”„ CVE-2026-24858 : FortiCloud SSO, Fortinet et la rĂ©alitĂ© brutale des Ă©quipements en bordure

Quand le SSO cloud devient un point de rupture

CVE-2026-24858 – Il y a des vulnĂ©rabilitĂ©s qui font du bruit parce qu’elles sont critiques. Et puis il y a celles qui font du bruit parce qu’elles rĂ©vĂšlent une vĂ©ritĂ© dĂ©rangeante. La CVE-2026-24858, notĂ©e 9.4, appartient clairement Ă  la seconde catĂ©gorie.

Cette faille, activement exploitĂ©e dĂ©but 2026, touche FortiCloud SSO, le mĂ©canisme d’authentification cloud de Fortinet. Sur le papier, on pourrait croire Ă  un simple problĂšme de SSO propriĂ©taire. Dans la rĂ©alitĂ©, elle expose un sujet bien plus profond : la confiance excessive accordĂ©e aux services cloud pour administrer des Ă©quipements critiques en bordure du SI.

DĂ©cryptage complet, technique et sans langue de bois.

đŸ§© CVE-2026-24858 — De quoi parle-t-on exactement ?

La CVE-2026-24858 est une vulnĂ©rabilitĂ© de contournement d’authentification affectant les produits Fortinet lorsque FortiCloud SSO est activĂ©.

📌 Produits concernĂ©s

  • FortiGate (FortiOS)
  • FortiManager
  • FortiAnalyzer
  • FortiProxy

📌 Condition clĂ©

FortiCloud SSO activé + équipement enregistré dans FortiCloud

La faille permet Ă  un attaquant disposant d’un compte FortiCloud valide de s’authentifier sur des Ă©quipements qui ne lui appartiennent pas, rompant ainsi l’isolation entre tenants FortiCloud.

Ce n’est pas une attaque par force brute. Ce n’est pas une erreur de configuration. C’est une faille logique dans la chaüne de confiance cloud → appliance.

đŸ•”ïžâ€â™‚ïž Exploitation rĂ©elle : ce que l’on sait

Contrairement à beaucoup de CVE trÚs théoriques, celle-ci a été :

  • exploitĂ©e dans la nature,
  • observĂ©e avant publication officielle,
  • suffisamment grave pour dĂ©clencher une alerte CISA.

📅 Timeline synthĂ©tique

  • 21–22 janvier 2026 : premiĂšres exploitations observĂ©es
  • 26 janvier 2026 : Fortinet dĂ©sactive temporairement FortiCloud SSO cĂŽtĂ© serveur
  • 27 janvier 2026 : publication officielle de la CVE par Fortinet (PSIRT FG-IR-26-060)
  • 28 janvier 2026 : alerte CISA + ajout au catalogue KEV (Known Exploited Vulnerabilities)

Des acteurs malveillants ont utilisé des comptes FortiCloud légitimes pour :

  • se connecter Ă  des FortiGate tiers,
  • crĂ©er des comptes administrateurs locaux,
  • exfiltrer les configurations.

👉 On parle ici d’attaques ciblĂ©es et maĂźtrisĂ©es, pas de scans opportunistes.

🧠 Ce que cette CVE n’est PAS

Avant d’aller plus loin, clarifions un point souvent mal compris.

❌ Ce n’est pas une faille SAML
❌ Ce n’est pas une faille OAuth / OpenID Connect
❌ Ce n’est pas une compromission Azure AD, Okta ou ADFS
❌ Ce n’est pas une faille Active Directory

👉 Les SSO standards (SAML, LDAP, RADIUS, Kerberos) ne sont pas vulnĂ©rables Ă  cette CVE.

La faille est strictement limitée à FortiCloud SSO, un mécanisme propriétaire Fortinet.

🔗 Le vrai danger : le rebond post-compromission

C’est ici que l’analyse devient intĂ©ressante. Car mĂȘme si la CVE ne casse que FortiCloud SSO, les consĂ©quences dĂ©passent largement ce pĂ©rimĂštre.

đŸ”„ Le FortiGate comme pivot

Une fois l’accùs administrateur obtenu sur un FortiGate, un attaquant peut :

  • modifier les configurations VPN,
  • dĂ©sactiver des contrĂŽles de sĂ©curitĂ©,
  • Ă©largir des rĂšgles de filtrage,
  • exfiltrer des secrets (certificats, clĂ©s, comptes techniques),
  • pivoter vers le rĂ©seau interne.

👉 Le FortiGate redevient ce qu’il a toujours Ă©tĂ© : une porte d’entrĂ©e stratĂ©gique vers le SI.

đŸ§± Et l’Active Directory on‑prem dans tout ça ?

Bonne nouvelle : un Active Directory on‑prem n’est PAS directement impactĂ©.

❌ Ce que la CVE ne permet pas

  • Aucun accĂšs direct aux DC
  • Aucun dump NTDS
  • Aucun contournement Kerberos
  • Aucun vol de mots de passe AD

⚠ Ce qui reste possible (indirectement)

  • Rebond rĂ©seau via VPN
  • Exploitation de comptes de service LDAP mal protĂ©gĂ©s
  • Password spraying depuis l’intĂ©rieur
  • Attaques latĂ©rales classiques (Kerberoasting, NTLM relay si legacy)

👉 Ce n’est pas une faille AD, c’est un rĂ©vĂ©lateur d’architecture faible.

🧯 RĂ©ponse de Fortinet et recommandations CISA

Face à l’exploitation active, Fortinet et la CISA ont pris des mesures claires.

đŸ› ïž Mesures Fortinet

  • DĂ©sactivation temporaire de FortiCloud SSO
  • RĂ©activation conditionnĂ©e aux versions corrigĂ©es
  • Publication de correctifs sur FortiOS 7.4.11, 7.6.6 et Ă©quivalents

đŸ›Ąïž Recommandations CISA

  • Appliquer les correctifs immĂ©diatement
  • Auditer tous les Ă©quipements exposĂ©s
  • Rechercher :
    • comptes admin crĂ©Ă©s rĂ©cemment,
    • modifications VPN,
    • changements de configuration inattendus

👉 La prĂ©sence de cette CVE dans le catalogue KEV est un signal fort : patch now, investigate yesterday.

🎯 Ce que cette CVE nous apprend vraiment

Au-delà de Fortinet, CVE-2026-24858 met en lumiÚre un problÚme systémique :

L’administration cloud d’équipements critiques introduit une surface d’attaque globale.

Quand un mécanisme centralisé tombe :

  • l’impact est transversal,
  • les frontiĂšres clients disparaissent,
  • le moindre bug devient une faille critique.

Conclusion — Le SSO n’est pas le problùme, la confiance aveugle si

La CVE-2026-24858 n’est pas une attaque contre le SSO.
C’est une attaque contre l’illusion de sĂ©curitĂ© du cloud appliquĂ©e sans discernement aux Ă©quipements de bordure.

✔ FortiCloud SSO n’est pas mauvais par essence
❌ Mais l’utiliser pour administrer des firewalls exposĂ©s sans cloisonnement est un pari risquĂ©

👉 Ce n’est pas une faille d’identitĂ©.
👉 C’est une faille de gouvernance et d’architecture.

Et comme souvent en cybersĂ©curitĂ©, la technologie n’a fait que rĂ©vĂ©ler ce que l’organisation avait dĂ©jĂ  nĂ©gligĂ©.

đŸ”„ CVE-2026-24858 : FortiCloud SSO, Fortinet et la rĂ©alitĂ© brutale des Ă©quipements en bordure
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut