🔥 CVE-2026-24858 : FortiCloud SSO, Fortinet et la réalité brutale des équipements en bordure

Quand le SSO cloud devient un point de rupture

CVE-2026-24858 – Il y a des vulnĂ©rabilitĂ©s qui font du bruit parce qu’elles sont critiques. Et puis il y a celles qui font du bruit parce qu’elles rĂ©vèlent une vĂ©ritĂ© dĂ©rangeante. La CVE-2026-24858, notĂ©e 9.4, appartient clairement Ă  la seconde catĂ©gorie.

Cette faille, activement exploitée début 2026, touche FortiCloud SSO, le mécanisme d’authentification cloud de Fortinet. Sur le papier, on pourrait croire à un simple problème de SSO propriétaire. Dans la réalité, elle expose un sujet bien plus profond : la confiance excessive accordée aux services cloud pour administrer des équipements critiques en bordure du SI.

DĂ©cryptage complet, technique et sans langue de bois.

🧩 CVE-2026-24858 — De quoi parle-t-on exactement ?

La CVE-2026-24858 est une vulnérabilité de contournement d’authentification affectant les produits Fortinet lorsque FortiCloud SSO est activé.

📌 Produits concernés

  • FortiGate (FortiOS)
  • FortiManager
  • FortiAnalyzer
  • FortiProxy

📌 Condition clé

FortiCloud SSO activé + équipement enregistré dans FortiCloud

La faille permet à un attaquant disposant d’un compte FortiCloud valide de s’authentifier sur des équipements qui ne lui appartiennent pas, rompant ainsi l’isolation entre tenants FortiCloud.

Ce n’est pas une attaque par force brute. Ce n’est pas une erreur de configuration. C’est une faille logique dans la chaîne de confiance cloud → appliance.

🕵️‍♂️ Exploitation réelle : ce que l’on sait

Contrairement à beaucoup de CVE très théoriques, celle-ci a été :

  • exploitĂ©e dans la nature,
  • observĂ©e avant publication officielle,
  • suffisamment grave pour dĂ©clencher une alerte CISA.

📅 Timeline synthétique

  • 21–22 janvier 2026 : premières exploitations observĂ©es
  • 26 janvier 2026 : Fortinet dĂ©sactive temporairement FortiCloud SSO cĂ´tĂ© serveur
  • 27 janvier 2026 : publication officielle de la CVE par Fortinet (PSIRT FG-IR-26-060)
  • 28 janvier 2026 : alerte CISA + ajout au catalogue KEV (Known Exploited Vulnerabilities)

Des acteurs malveillants ont utilisé des comptes FortiCloud légitimes pour :

  • se connecter Ă  des FortiGate tiers,
  • crĂ©er des comptes administrateurs locaux,
  • exfiltrer les configurations.

👉 On parle ici d’attaques ciblées et maîtrisées, pas de scans opportunistes.

🧠 Ce que cette CVE n’est PAS

Avant d’aller plus loin, clarifions un point souvent mal compris.

❌ Ce n’est pas une faille SAML
❌ Ce n’est pas une faille OAuth / OpenID Connect
❌ Ce n’est pas une compromission Azure AD, Okta ou ADFS
❌ Ce n’est pas une faille Active Directory

👉 Les SSO standards (SAML, LDAP, RADIUS, Kerberos) ne sont pas vulnérables à cette CVE.

La faille est strictement limitée à FortiCloud SSO, un mécanisme propriétaire Fortinet.

đź”— Le vrai danger : le rebond post-compromission

C’est ici que l’analyse devient intéressante. Car même si la CVE ne casse que FortiCloud SSO, les conséquences dépassent largement ce périmètre.

🔥 Le FortiGate comme pivot

Une fois l’accès administrateur obtenu sur un FortiGate, un attaquant peut :

  • modifier les configurations VPN,
  • dĂ©sactiver des contrĂ´les de sĂ©curitĂ©,
  • Ă©largir des règles de filtrage,
  • exfiltrer des secrets (certificats, clĂ©s, comptes techniques),
  • pivoter vers le rĂ©seau interne.

👉 Le FortiGate redevient ce qu’il a toujours été : une porte d’entrée stratégique vers le SI.

🧱 Et l’Active Directory on‑prem dans tout ça ?

Bonne nouvelle : un Active Directory on‑prem n’est PAS directement impacté.

❌ Ce que la CVE ne permet pas

  • Aucun accès direct aux DC
  • Aucun dump NTDS
  • Aucun contournement Kerberos
  • Aucun vol de mots de passe AD

⚠️ Ce qui reste possible (indirectement)

  • Rebond rĂ©seau via VPN
  • Exploitation de comptes de service LDAP mal protĂ©gĂ©s
  • Password spraying depuis l’intĂ©rieur
  • Attaques latĂ©rales classiques (Kerberoasting, NTLM relay si legacy)

👉 Ce n’est pas une faille AD, c’est un révélateur d’architecture faible.

🧯 Réponse de Fortinet et recommandations CISA

Face à l’exploitation active, Fortinet et la CISA ont pris des mesures claires.

🛠️ Mesures Fortinet

  • DĂ©sactivation temporaire de FortiCloud SSO
  • RĂ©activation conditionnĂ©e aux versions corrigĂ©es
  • Publication de correctifs sur FortiOS 7.4.11, 7.6.6 et Ă©quivalents

🛡️ Recommandations CISA

  • Appliquer les correctifs immĂ©diatement
  • Auditer tous les Ă©quipements exposĂ©s
  • Rechercher :
    • comptes admin crĂ©Ă©s rĂ©cemment,
    • modifications VPN,
    • changements de configuration inattendus

👉 La présence de cette CVE dans le catalogue KEV est un signal fort : patch now, investigate yesterday.

🎯 Ce que cette CVE nous apprend vraiment

Au-delà de Fortinet, CVE-2026-24858 met en lumière un problème systémique :

L’administration cloud d’équipements critiques introduit une surface d’attaque globale.

Quand un mécanisme centralisé tombe :

  • l’impact est transversal,
  • les frontières clients disparaissent,
  • le moindre bug devient une faille critique.

Conclusion — Le SSO n’est pas le problème, la confiance aveugle si

La CVE-2026-24858 n’est pas une attaque contre le SSO.
C’est une attaque contre l’illusion de sécurité du cloud appliquée sans discernement aux équipements de bordure.

✔️ FortiCloud SSO n’est pas mauvais par essence
❌ Mais l’utiliser pour administrer des firewalls exposés sans cloisonnement est un pari risqué

👉 Ce n’est pas une faille d’identité.
👉 C’est une faille de gouvernance et d’architecture.

Et comme souvent en cybersécurité, la technologie n’a fait que révéler ce que l’organisation avait déjà négligé.

🔥 CVE-2026-24858 : FortiCloud SSO, Fortinet et la réalité brutale des équipements en bordure
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut