28 Gennaio 2026 12:45    Alert

Fortinet: sfruttamento attivo di una vulnerabilità zero‑day

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un avviso su una vulnerabilità zero‑day di tipo authentication bypass nei prodotti Fortinet, già sfruttata attivamente in rete contro organizzazioni che utilizzano firewall e soluzioni di gestione FortiGate e correlati. Il riferimento principale è la CVE‑2026‑24858, che coinvolge FortiOS, FortiManager, FortiProxy e FortiAnalyzer e consente a un attaccante con account FortiCloud di aggirare il meccanismo di Single Sign‑On (SSO) ed accedere a dispositivi associati ad altri account quando l’SSO è abilitato. Si tratta quindi di un problema critico per chi usa l’integrazione FortiCloud per amministrare apparati di sicurezza esposti o semi‑esposti verso Internet.

Secondo le analisi pubbliche, la vulnerabilità è stata sfruttata in modo mirato almeno da due account FortiCloud malevoli, poi bloccati da Fortinet il 22 gennaio 2026; per contenere il rischio l’azienda ha temporaneamente sospeso il servizio FortiCloud SSO il 26 gennaio, riattivandolo il giorno successivo solo per i dispositivi già aggiornati. In diversi casi gli amministratori hanno rilevato accessi non autorizzati ai firewall FortiGate con creazione di nuovi account amministrativi, pur in presenza delle patch più recenti per vulnerabilità precedenti legate al SSO (ad esempio CVE‑2025‑59718 e CVE‑2025‑59719), il che ha permesso di ricondurre gli incidenti alla nuova falla zero‑day.

Il contesto generale rende il quadro ancora più delicato: negli ultimi anni i prodotti Fortinet sono stati più volte interessati da vulnerabilità critiche di autenticazione e VPN, come l’out‑of‑bounds write in SSL VPN CVE‑2024‑21762 e l’autentication bypass CVE‑2024‑55591, anch’essi sfruttati o oggetto di campagne di scansione massiva. Più recentemente è stata segnalata anche CVE‑2026‑22153, una debolezza di autenticazione LDAP in FortiOS 7.6.x che può permettere di bypassare i controlli su VPN agentless e policy FSSO in particolari configurazioni, confermando come la superficie di attacco legata ai meccanismi di autenticazione Fortinet resti particolarmente sensibile.

Fonti: ACN, SOC Prime, Fortinet