Így nyílt meg az út a támadók előtt
Ez volt az a pillanat, amikor minden megváltozott: január 21-én támadók helyi rendszergazdai fiókokat hoztak létre a legfrissebb firmware-t futtató FortiGate eszközökön, kihasználva az újonnan felfedezett, CVE-2026-24858 azonosítójú hibát. A hackerek gyakran a cloud-init@mail.io e-mail-címet használták FortiCloud SSO-belépéshez, majd gyorsan adminisztrátori jogosultságot szereztek.
Ráadásul a támadásokat automatizált szkriptek hajtották végre: másodpercek alatt új, adminisztrátori és VPN-hozzáféréssel rendelkező fiókok születtek, a tűzfalak konfigurációs állományait pedig pillanatok alatt elvitték. Elképzelhető, hogy az incidens hasonlít egy korábbi kampányra, amelyet a CVE-2025-59718 sérülékenység kihasználásával valósítottak meg tavaly decemberben.
Védekezés: szerveroldali zárolás és szigorítás
A Fortinet január 22-én azonnal zárolta a támadók által használt FortiCloud-fiókokat, majd január 26-án világszerte letiltotta a FortiCloud SSO-t, hogy gátat szabjon a további visszaéléseknek. Egy nappal később a szolgáltatást visszakapcsolták, de csak olyan eszközök használhatják, amelyek nem sebezhető firmware-t futtatnak. Ezzel a szerveroldali lépéssel a veszélyeztetett eszközök önállóan már nem tudnak belépni SSO-val, így az adminoknak jelenleg nincs teendőjük – legalábbis amíg a végleges javítások el nem készülnek.
A problémát az „Authenticator Bypass Using an Alternate Path or Channel” okozza, ami azt jelenti, hogy helytelen hozzáférésvezérlés következtében más ügyfelek eszközeire is be lehetett jelentkezni, ha az SSO engedélyezve volt. A FortiCloud SSO ugyan alapértelmezetten nincs bekapcsolva, de a FortiCare-regisztráció után automatikusan aktiválódik, hacsak valaki manuálisan le nem tiltotta.
Kik voltak veszélyben és mit kell tenni?
A támadók felhasználónevei többek között az audit, backup, itadmin, secadmin, support, backupadmin, deploy, remoteadmin, security, svcadmin és system voltak, és számos IP-címről érkeztek (például 104.28.244.115 és 37[.]1.209.19). A Fortinet elismerte, hogy a támadók konfigurációs fájlokat is megszereztek az áldozatok eszközeiről.
A FortiOS-, FortiManager- és FortiAnalyzer-termékekhez készülnek a javítások. Addig is javasolt minden adminfiók átvizsgálása, ismert, „tiszta” mentésből történő visszaállítás, valamint valamennyi jelszó cseréje. Elképzelhető, hogy más, SAML-alapú SSO-rendszerek is támadhatók, így érdemes átmenetileg letiltani ezeket a funkciókat. A Fortinet azt is vizsgálja, hogy érinti-e a hiba a FortiWebet és a FortiSwitch Managert. Az incidensből tanulva minden érintett eszközt teljesen kompromittáltnak kell tekinteni, ha a fenti jelek látszanak a naplókban.
