Fortinet은 최근 FortiCloud SSO(싱글 사인온) 인증 우회 취약점(CVE-2026-24858)이 실제로 악용되고 있음을 공식 확인하였습니다. 이 취약점은 공격자가 FortiCloud SSO를 악용해 FortiOS, FortiManager, FortiAnalyzer 등 다른 고객의 장치에 관리자 권한으로 접근할 수 있게 하며, 이전에 패치된 취약점이 모두 적용된 최신 펌웨어에서도 공격이 가능합니다. 1월 21일 Fortinet 고객들이 FortiGate 방화벽이 침해된 사실을 보고하였고, 공격자는 FortiCloud SSO를 통해 새로운 로컬 관리자 계정을 생성한 것으로 나타났습니다.
초기에는 이 공격이 2025년 12월 패치된 CVE-2025-59718 취약점의 우회 공격으로 추정되었으나, Fortinet은 1월 23일 완전히 패치된 시스템에서도 새로운 인증 경로를 통한 공격이 이뤄지고 있음을 확인하였습니다. Fortinet은 즉각적으로 FortiCloud SSO를 통한 취약 펌웨어 장치의 연결을 차단하고, 악용된 FortiCloud 계정을 비활성화하는 등 서버 측 조치를 취했습니다. 또한, FortiCloud SSO가 기본적으로 활성화되어 있지는 않으나, FortiCare 등록 시 자동으로 활성화될 수 있으므로 관리자는 필요 시 수동으로 비활성화해야 한다고 안내했습니다.
현재 Fortinet은 FortiOS, FortiManager, FortiAnalyzer에 대한 패치를 개발 중이며, 패치가 배포되기 전까지는 FortiCloud SSO를 통한 취약 장치의 로그인을 차단하여 추가 피해를 방지하고 있습니다. Fortinet은 SAML 기반 SSO 구현에도 동일한 취약점이 적용될 수 있으므로, 관리자는 SSO 기능을 임시로 비활성화할 것을 권고하였습니다. 또한, 침해 지표가 발견된 경우 모든 관리자 계정 점검, 백업 복원, 비밀번호 변경 등 보안 조치를 취할 것을 당부하였습니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.