Kriittinen haavoittuvuus FortiOS, FortiManager, FortiProxy ja FortiAnalyzer tuotteissa

Seuraavat tuotteet ovat haavoittuvia, jos FortiCloud SSO autentikointi on käytössä
FortiAnalyzer versiot:
- 7.6.0-7.6.5
- 7.4.0-7.4.9
- 7.2.0-7.2.11
- 7.0.0-7.0.15

FortiManager versiot:
- 7.6.0-7.6.5
- 7.4.0-7.4.9
- 7.2.0-7.2.11
- 7.0.0-7.0.15

FortiOS versiot:
- 7.6.0-7.6.5
- 7.4.0-7.4.10
- 7.2.0-7.2.12
- 7.0.0-7.0.18

FortiProxy versiot:
- 7.6.0-7.6.4
- 7.4.0-7.4.12
- Kaikki 7.2 versiot, poislukien uusin
- Kaikki 7.0 versiot, poislukien uusin

Jos hyökkääjällä on FortiCloud tili ja siihen rekisteröity laite, on hänen mahdollista haavoittuvuutta hyväksikäyttämällä kirjautua toisiin tileihin rekisteröityihin laitteisiin, joissa FortiCloud SSO on myös käytössä. Hyökkääjät ovat mm. luoneet paikallisia järjestelmänvalvojan tilejä ja luoneet tileille VPN-pääsyjä saadakseen pysyvän jalansijan murretulle laitteelle.

Fortinet poisti käytöstä FortiCloud SSO autentikoinnin 26.1.2026 ja palautti sen käyttöön uudestaan 27.1.2026. Vanhoilla haavoittuvilla versioilla ei pysty enää kuitenkaan kirjautumaan SSO:n kautta, joten haavoittuvuutta ei ole pystytty hyväksikäyttämään enää 27.1.2026 jälkeen.

Jos käytössäsi on haavoittuva versio ja FortiCloud SSO autentikointi on käytössä, on tärkeää tutkia, onko haavoittuvuutta käytetty onnistuneesti hyväksi. Tarkempia ohjeita, mitä kannattaa hakea ja tutkia, löytyy Fortinetin haavoittuvuustiedotteesta:
https://www.fortiguard.com/psirt/FG-IR-26-060 (Ulkoinen linkki)

Tutkinnan jälkeen asenna päivitykset valmistajan ohjeiden mukaisesti

Fortinet on julkaissut myös yksityiskohtaisemman analyysin havoittuvuuden hyväksikäyttöön liittyen:
https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios (Ulkoinen linkki)