Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
FortiSandbox to platforma służąca do analizy podejrzanych plików i ładunków w odizolowanym środowisku. Jej zadaniem jest wykrywanie złośliwego oprogramowania oraz dostarczanie informacji o zagrożeniach do pozostałych elementów infrastruktury bezpieczeństwa. Z tego powodu skuteczne przejęcie takiego systemu może mieć znacznie poważniejsze konsekwencje niż naruszenie zwykłego serwera aplikacyjnego.
Obecnie organizacje muszą zmierzyć się z aktywną eksploatacją trzech krytycznych podatności w Fortinet FortiSandbox. Luki pozwalają na zdalny atak bez uwierzytelnienia i mogą prowadzić do pełnej kompromitacji urządzenia, kradzieży danych oraz wykorzystania platformy bezpieczeństwa jako punktu wejścia do dalszej penetracji sieci.
W skrócie
- Aktywnie wykorzystywane są trzy luki: CVE-2026-39813, CVE-2026-39808 oraz CVE-2026-25089.
- Wszystkie podatności otrzymały wysoką ocenę CVSS 9.1.
- Dwie luki załatano w kwietniu 2026 roku, a trzecią dopiero w czerwcu 2026 roku.
- Atak obejmuje obejście uwierzytelnienia oraz wstrzyknięcie poleceń systemowych.
- Największe ryzyko dotyczy instancji z wystawionym interfejsem administracyjnym lub API.
Kontekst / historia
Rozwiązania Fortinet od lat pozostają atrakcyjnym celem dla cyberprzestępców. Wynika to zarówno z ich szerokiego wykorzystania w środowiskach korporacyjnych, jak i z wartości operacyjnej urządzeń bezpieczeństwa po ich przejęciu. Kompromitacja produktu chroniącego organizację daje napastnikowi uprzywilejowaną pozycję, dostęp do danych telemetrycznych i możliwość wpływania na procesy detekcji.
W przypadku FortiSandbox sytuacja jest szczególnie istotna, ponieważ system analizuje próbki malware, współpracuje z innymi narzędziami ochronnymi i często funkcjonuje w zaufanych segmentach infrastruktury. Najnowsze obserwacje pokazują, że atakujący równolegle wykorzystują trzy odrębne błędy, co zwiększa presję na zespoły odpowiedzialne za aktualizację i monitoring tych środowisk.
Analiza techniczna
Pierwsza z podatności, CVE-2026-39813, dotyczy interfejsu JRPC API i jest klasyfikowana jako path traversal. Tego typu błąd pozwala manipulować ścieżką żądania w taki sposób, aby ominąć założenia logiki dostępu. W praktyce może to doprowadzić do obejścia uwierzytelnienia i uzyskania dostępu do funkcji przeznaczonych wyłącznie dla zalogowanych administratorów.
Druga luka, CVE-2026-39808, polega na wstrzyknięciu poleceń systemowych. Jeżeli dane wejściowe nie są poprawnie walidowane i trafiają do powłoki systemowej, napastnik może uruchomić nieautoryzowane komendy. W efekcie możliwe staje się zdalne wykonanie kodu, modyfikacja konfiguracji, instalacja dodatkowych narzędzi oraz osadzenie mechanizmów trwałości na urządzeniu.
Trzecia podatność, CVE-2026-25089, również należy do kategorii OS command injection i obejmuje FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS WEB UI. Szczególne znaczenie ma fakt, że została załatana stosunkowo niedawno, co zwiększa prawdopodobieństwo, że część organizacji nie zdążyła jeszcze wdrożyć poprawek. Nawet niedopracowane narzędzia exploitacyjne mogą okazać się skuteczne wobec słabo zabezpieczonych lub publicznie dostępnych instancji.
Kluczowym elementem wszystkich trzech scenariuszy jest brak wymaganego uwierzytelnienia dla ścieżki ataku. Oznacza to, że zagrożone są przede wszystkim systemy dostępne z Internetu, sieci współdzielonych lub niedostatecznie odseparowanych stref administracyjnych. W takich przypadkach czas między ujawnieniem luki a pierwszymi próbami jej masowego wykorzystania bywa bardzo krótki.
Konsekwencje / ryzyko
Ryzyko związane z tymi podatnościami należy uznać za wysokie. FortiSandbox przetwarza wrażliwe dane dotyczące analizowanych zagrożeń, konfiguracji i integracji z innymi narzędziami bezpieczeństwa. Przejęcie takiego systemu może przełożyć się nie tylko na utratę kontroli nad samym urządzeniem, ale także na naruszenie szerszego ekosystemu ochronnego.
- zdalne wykonanie kodu i pełna kompromitacja appliance,
- kradzież konfiguracji, poświadczeń i tokenów serwisowych,
- manipulacja wynikami analizy zagrożeń,
- wykorzystanie urządzenia do ruchu bocznego w sieci,
- ukrywanie śladów aktywności poprzez ingerencję w logi i ustawienia bezpieczeństwa.
W praktyce organizacje powinny zakładać, że niezałatana i wystawiona instancja może stać się celem zautomatyzowanych kampanii skanujących. Szczególnie groźne są środowiska, w których urządzenie ma szeroką łączność z systemami zarządzania, pocztą, SIEM, EDR, firewallami lub repozytoriami próbek.
Rekomendacje
Najważniejszym działaniem jest natychmiastowe ustalenie, czy w środowisku działają podatne wersje FortiSandbox, FortiSandbox Cloud lub FortiSandbox PaaS, a następnie jak najszybsze wdrożenie poprawek producenta. Sama aktualizacja nie powinna jednak kończyć procesu reagowania.
- przeprowadzić pilny przegląd wersji i porównać je z opublikowanymi biuletynami bezpieczeństwa,
- ograniczyć dostęp do interfejsów administracyjnych wyłącznie do zaufanych adresów i wydzielonych sieci zarządzających,
- wyłączyć publiczną ekspozycję paneli WWW i API, jeśli nie jest bezwzględnie konieczna,
- przeanalizować logi HTTP, logi systemowe oraz zdarzenia administracyjne pod kątem prób obejścia autoryzacji i wykonywania poleceń,
- sprawdzić integralność konfiguracji, kont administracyjnych i harmonogramów zadań,
- zweryfikować nietypowe połączenia wychodzące z urządzenia,
- wdrożyć dodatkowe reguły detekcyjne w SIEM, WAF i NDR,
- przygotować procedurę izolacji oraz odtworzenia systemu z zaufanego obrazu w razie oznak kompromitacji.
W organizacjach o podwyższonym profilu ryzyka warto traktować niezałataną ekspozycję jako potencjalne naruszenie do momentu jednoznacznego potwierdzenia, że urządzenie nie zostało wykorzystane przez atakujących.
Podsumowanie
Aktywna eksploatacja trzech krytycznych luk w Fortinet FortiSandbox pokazuje, że urządzenia bezpieczeństwa pozostają jednym z najbardziej wartościowych celów dla cyberprzestępców. Połączenie obejścia uwierzytelnienia i wstrzyknięcia poleceń systemowych tworzy scenariusz prowadzący bezpośrednio do zdalnej kompromitacji.
Dwie podatności były dostępne z poprawkami od kwietnia 2026 roku, natomiast trzecia została załatana w czerwcu 2026 roku. To oznacza, że organizacje powinny działać natychmiast: aktualizować systemy, ograniczać ekspozycję interfejsów zarządzania i prowadzić retrospektywną analizę śladów potencjalnego wykorzystania.