#Hosting · 4 Min. Lesezeit · Tim Rinkel

ALARM! FortiGate-Zero-Day kapert JETZT deine Firewall — SOFORT FortiCloud aus!

ALARM! FortiGate-Zero-Day kapert JETZT deine Firewall — SOFORT FortiCloud aus!

Fortinet-Admins, jetzt SOFORT in die Konsole! Eine als CVE-2026-24858 geführte Zero-Day-Lücke knallt mitten in den FortiCloud-SSO-Mechanismus deiner FortiGate-Firewall — und Angreifer legen sich Admin-Accounts direkt im laufenden Betrieb an. Fortinet hat zwei bösartige FortiCloud-Konten bereits am 22. Januar 2026 blockiert. Ja, das war vor Monaten. Aber die offizielle Disclosure läuft erst jetzt — und du weißt nicht, ob dein Gerät zwischendurch schon abgeklemmt wurde.

SCHOCK: Auth-Bypass am SSO-Layer

Die Lücke sitzt im SSO-Authentifizierungs-Layer, der FortiGate mit FortiCloud verbindet. Wer den richtigen Request bastelt, schummelt sich an der Token-Validierung vorbei — und kommt als Admin in die Geräte-Konfiguration. Kein Captive Portal, keine MFA, kein Stolperstein. Einmal drin, kann der Angreifer Firewall-Regeln umstellen, VPN-Tunnel aufmachen, weitere Konten anlegen, Logs löschen. Klassisches Game Over für ein Edge-Gerät.

UNGLAUBLICH: Schon seit Januar im Wildwuchs

Was richtig wehtut: Fortinet bestätigt offen, dass die Lücke vor der Offenlegung aktiv ausgenutzt wurde. Zwei FortiCloud-Konten wurden als Indikatoren erkannt und am 22. Januar 2026 zentral gesperrt. Heißt: Wenn du im Winter eine seltsame Admin-Tätigkeit auf deiner FortiGate gesehen und es als „Konfig-Drift“ abgehakt hast — vielleicht war das mehr.

So checkst du DEIN System in 5 MINUTEN

  1. FortiCloud-SSO deaktivieren: Unter System » FortiCloud den Connector pausieren, bis du den Hotfix drauf hast.
  2. Admin-Log dumpen: diagnose log info und das admin login-Event-Log gegen deine Soll-User abgleichen. Unbekannte IDs sofort löschen.
  3. API-Token rotieren: Alle FortiCloud-bezogenen Tokens neu erzeugen — der alte Wert kann im Vorratslager des Angreifers liegen.
  4. Hotfix einspielen: Sobald die FortiCare-Update-Channel den Build hat, normales Patch-Verfahren über System » Firmware fahren.
  5. Logs sichern: Bevor du irgendwas änderst, Event-Log archivieren — du brauchst es für die Forensik.

EXTRA-TIPP: WAN-Mgmt sperren

Solange du den Hotfix nicht hast, regel ALLE Admin-Interfaces ausschließlich auf interne Subnetze. Wer SonicWall oder Fortinet im Internet-WAN frei zugänglich hat, ist 2026 sowieso ein wandelndes Ziel — Jazz Cyber Shield meldet, dass über 56 Prozent aller Sicherheitsvorfälle Q1 2026 auf genau diese Konstellation entfallen.

FAZIT: Heute, nicht morgen

Fortinet-Hardware ist in vielen Mittelstandsnetzen die letzte Linie vor dem öffentlichen Internet. Eine Zero-Day im Auth-Layer ist das schlimmste Szenario, weil keine klassischen Schutzmechanismen greifen — kein Brute-Force-Schutz, kein 2FA, kein IP-Allowlisting auf der API. Wenn deine FortiGate FortiCloud-SSO nutzt, ist das hier kein Update für die Wartungs-Nacht. Das ist Pflichtprogramm für heute Morgen.

Häufige Fragen

Welche Versionen sind betroffen?
Laut Fortinet PSIRT alle FortiGate-Geräte, die FortiCloud-SSO aktiv nutzen — quer durch FortiOS 7.0, 7.2 und 7.4. Eine genaue Auflistung der gefixten Builds findest du in der offiziellen PSIRT-Advisory zu CVE-2026-24858. Wer FortiCloud-SSO deaktiviert hat, ist nicht direkt angreifbar — aber die Lücke kann von Innen durch übernommene Token reaktiviert werden.
Wie merke ich, ob mein System schon angegriffen wurde?
Schau in das Admin-Account-Log unter System » Administrators und vergleiche mit deinem internen Soll-Stand. Fortinet hat zwei bösartige FortiCloud-Accounts identifiziert und am 22. Januar 2026 blockiert — wer in dem Zeitraum ein Account ohne klare Zuordnung sieht, hat ein Problem. Im Event-Log nach admin login-Events von unbekannten IPs filtern und mit der FortiCloud-Aktivität abgleichen.
Wie repariere ich das Problem konkret?
Erstens: FortiCloud-SSO temporär deaktivieren, bis der Hotfix drin ist. Zweitens: Alle Admin-Accounts manuell durchgehen, alle nicht-zugeordneten Konten löschen. Drittens: Hotfix installieren — Fortinet hat den Build über das übliche FortiCare-Channel ausgerollt. Viertens: API-Token, die für FortiCloud genutzt wurden, rotieren — der Token-Wert konnte exfiltriert werden.
Gab es schon aktive Angriffe?
Ja, Fortinet hat die Lücke öffentlich als actively exploited bestätigt — die Erstausnutzung lag vor der Disclosure. Laut Jazz Cyber Shield gehören SonicWall- und FortiGate-Brute-Force-Angriffe gerade zu den häufigsten Cyber-Vorfällen 2026, mit über 56 Prozent Anteil an gemeldeten Vorfällen im Februar/März. Heißt: Du bist nicht der einzige Verteidiger, der gerade hektisch das Audit fährt.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert