Fortinet patcht eine kritische Zero-Day-Schwachstelle in seiner Cloud-SSO, die bereits für Angriffe genutzt wurde. Die Lücke ermöglichte Angreifern Administrator-Zugriff auf Firewalls und andere Sicherheitsgeräte.
Washington D.C. – Der Netzwerksicherheitsanbieter Fortinet hat mit der Auslieferung eines Notfall-Patches für eine kritische Zero-Day-Schwachstelle begonnen. Die Sicherheitslücke in der FortiCloud Single Sign-On (SSO)-Funktion wurde bereits aktiv ausgenutzt. Betroffen sind zahlreiche Fortinet-Sicherheitsgeräte, darunter die weit verbreiteten FortiGate-Firewalls. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle als akut gefährlich eingestuft und fordert sofortiges Handeln.
Angreifer nutzten Lücke für automatisierten Zugriff
Die als CVE-2026-24858 identifizierte Lücke ist ein schwerwiegender Authentifizierungsfehler. Sie ermöglichte es Angreifern mit einem FortiCloud-Konto, sich auf Geräten anderer Kunden anzumelden, die die Cloud-SSO nutzen. Damit war das Sicherheitsmodell des Dienstes ausgehebelt.
Zero‑Day‑Angriffe auf SSO‑Systeme – wie der aktuelle Fortinet‑Fall – zeigen, wie schnell Angreifer vollen Administratorzugang erlangen und Systeme persistierend kompromittieren. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ erklärt praxisnah, welche Sofortmaßnahmen jetzt Priorität haben: Patch‑Priorisierung, sichere SSO‑Konfiguration, gezielte Log‑Analysen und Awareness‑Maßnahmen für Mitarbeiter. Ideal für IT‑Leiter und Security‑Teams, die einen sofort anwendbaren Handlungsplan für kritische Vorfälle brauchen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Die beobachteten Angriffe waren hochautomatisiert. Innerhalb von Sekunden nach einer erfolgreichen Infiltration legten die Hacker neue Administrator-Konten an, richteten VPN-Zugänge ein und stahlen Konfigurationsdateien der Firewalls. Als Zugangsweg nutzten sie häufig die E-Mail-Adresse cloud-init@mail.io. Die gestohlenen Konfigurationsdateien sind besonders brisant: Sie können gehashte Passwörter und sensible Netzwerkdaten enthalten – eine ideale Grundlage für weitere Angriffe.
Fortinet reagiert mit Notfall-Maßnahmen und Patches
Nach ersten Meldungen über Ausnutzungen ab dem 20. Januar ergriff Fortinet drastische Maßnahmen. Zunächst sperrte das Unternehmen am 23. Januar die für die Angriffe genutzten Konten. Drei Tage später wurde der gesamte FortiCloud SSO-Dienst vorübergehend abgeschaltet, um weiteren Missbrauch zu verhindern.
Seit dem 27. Januar ist der Dienst wieder verfügbar – jedoch mit einer wichtigen Einschränkung: Geräte mit anfälliger Firmware werden blockiert. Die endgültige Lösung ist ein Firmware-Update. Fortinet hat bereits die gepatchte Version FortiOS 7.4.11 veröffentlicht. Updates für andere betroffene Versionen von FortiOS, FortiManager und FortiAnalyzer sollen schnell folgen. Das Unternehmen rät dringend zur Installation.
Muster deutet auf gezielte Kampagne hin
Der Vorfall unterstreicht, wie stark Angreifer vernetzte Sicherheitsgeräte und zentrale Login-Systeme ins Visier nehmen. Eine SSO-Schwachstelle ist für Hacker besonders wertvoll: Sie öffnet den Zugang zu einer Vielzahl unternehmenskritischer Ressourcen.
Die Angriffe ähneln auffällig einer Kampagne aus dem Dezember 2025, bei der ähnliche SSO-Lücken bei Fortinet ausgenutzt wurden. Damals wie heute ging es den Angreifern darum, dauerhaften Zugang zu schaffen und Konfigurationsdaten zu stehlen. Dieses Muster legt nahe, dass es sich nicht um Gelegenheitsangriffe, sondern um eine gezielte, anhaltende Kampagne gegen Unternehmen handelt, die Fortinet-Produkte nutzen. Das Sicherheitsunternehmen Arctic Wolf beobachtete die jüngste Aktivität bereits ab dem 15. Januar.
Handlungsempfehlungen für Unternehmen
Die oberste Priorität für alle Fortinet-Kunden ist jetzt die sofortige Installation der verfügbaren Patches. Die US-Behörde CISA hat für Bundesbehörden eine Frist bis zum 30. Januar gesetzt – ein Zeitrahmen, dem auch Unternehmen der Privatwirtschaft folgen sollten.
Zusätzlich zum Patchen sollten IT-Abteilungen aktiv nach Anzeichen einer Kompromittierung suchen. System-Logs müssen auf unautorisierte SSO-Logins – besonders von der verdächtigen Adresse cloud-init@mail.io – und die unerwartete Anlage neuer Admin-Konten überprüft werden. Unautorisierte Konfigurationsänderungen oder Datenabflüsse müssen sofort untersucht werden.
Die FortiCloud-SSO-Funktion ist standardmäßig deaktiviert, kann aber bei der Geräteregistrierung aktiviert werden. Administratoren sollten prüfen, ob diese Funktion für ihren Betrieb notwendig ist und sie gegebenenfalls sicher konfigurieren. Da SSO-Systeme im Fokus von Angreifern bleiben, sind zeitnahes Patchen und kontinuierliche Überwachung der Netzwerksicherheit unerlässlich.
PS: Zusätzlich zum technischen Patch ist Awareness und Prozessorganisation entscheidend. Der Gratis‑Report bietet eine sofort einsetzbare Checkliste für Incident‑Response, konkrete Hinweise zur Überwachung verdächtiger SSO‑Logins (z. B. cloud‑init@mail.io) und eine Prioritätenliste für Sofortmaßnahmen, damit Sie Nachwirkungen reduzieren und Wiederholungskompromittierungen verhindern. Gratis Cyber‑Security‑Report anfordern
