Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20260128-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.8
Identifikátor
[AKTUALIZOVANÉ] Fortinet produkty – aktívne zneužívaná kritická bezpečnostná zraniteľnosť
Popis
Spoločnosť Fortinet vydala bezpečnostné aktualizácie na produkty FORTIOS, FORTIMANAGER, FORTIPROXY a FORTIANALYZER, ktoré opravujú aktívne zneužívanú kritickú bezpečnostnú zraniteľnosť.
Aktívne zneužívaná kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2026-24858 sa nachádza vo FORTICLOUD SSO, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených SAML správ získať administrátorský prístup a úplnú kontrolu nad systémom.
FortiCloud SSO nie je aktívna v predvolenej inštalácii, ale dochádza k jej aktivácii pri registrácii zariadenia do FortiCare.
Aktivity zachytené vo zverejnených logoch vykazujú vysokú podobnosť s priebehom zneužitia zraniteľnosti zdokumentovaným výskumníkmi z ARCTIC WOLF.
Dátum prvého zverejnenia varovania
9.12.2025
CVE
CVE-2026-24858
IOC
E-mail
cloud-init[at]mail[.]io
cloud-noc[at]mail[.]io
IP address
104.28.244[.]115
104.28.212[.]114
104.28.195[.]105
104.28.195[.]106
104.28.212[.]115
104.28.227[.]106
104.28.227[.]105
104.28.244[.]114
37.1.209[.]19
217.119.139[.]50
Account name
audit
backup
itadmin
secadmin
support
backupadmin
deploy
remoteadmin
security
svcadmin
system
Zasiahnuté systémy
FortiOS
FortiProxy
FortiSwitchManager
FortiWeb

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE
Následky
Úplné narušenie dôvernosti, integrity a dostupnosti systému
Získanie úplnej kontroly nad zariadením
Odporúčania
Administrátorom odporúčame bezodkladnú aktualizáciu firmvéru zraniteľných zariadení. V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno mitigovať deaktiváciou prihlasovania prostredníctvom FortiCloud SSO a limitovaním prístupu k manažmentovému rozhraniu zariadenia len na zoznam dôveryhodných IP adries.
V rámci bezpečnostných opatrení Fortinet aktívne blokuje FortiCloud SSO spojenia zo zraniteľných systémov.
Nakoľko je podľa výrobcu možné zraniteľnosť pravdepodobne zneužiť aj na iných SAML SSO implementáciách, administrátorom odporúča dočasnú deaktiváciu SSO prostredníctvom administrátorskej konzoly.
Taktiež odporúčame preveriť dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. V prípade detekcie IOC možno zariadenie považovať za kompromitované.
Dôležitý je taktiež audit používateľských kont, zmena prihlasovacích údajov a kryptografického materiálu a obnova konfigurácie zo spoľahlivých záloh.
Zdroje
https://www.fortiguard.com/psirt/FG-IR-26-060
https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios
https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/

« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2026 Všetky práva vyhradené - Posledná aktualizácia 28. 01. 2026 13:19