Fortinet łata krytyczną lukę w FortiSandbox umożliwiającą zdalne wykonanie poleceń - Security Bez Tabu

Fortinet łata krytyczną lukę w FortiSandbox umożliwiającą zdalne wykonanie poleceń

Cybersecurity news

Wprowadzenie do problemu / definicja

Fortinet opublikował poprawki bezpieczeństwa dla krytycznej podatności w FortiSandbox, która może umożliwić niezalogowanemu atakującemu zdalne wykonanie poleceń systemowych. Problem dotyczy komponentu WEB UI i wynika z błędnej neutralizacji specjalnych elementów wejściowych, co klasyfikuje lukę jako OS command injection. Dla organizacji wykorzystujących FortiSandbox oznacza to ryzyko pełnego przejęcia podatnego urządzenia bez wcześniejszego uwierzytelnienia.

W skrócie

Najpoważniejsza z załatanych luk została oznaczona jako CVE-2026-25089 i otrzymała ocenę CVSS 9.8, co wskazuje na bardzo wysoki poziom ryzyka. Podatność pozwala na wysyłanie odpowiednio spreparowanych żądań HTTP prowadzących do wykonania nieautoryzowanych poleceń na podatnym systemie. Problem obejmuje określone wersje FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS. Producent poinformował również o usunięciu dodatkowych luk o średniej ważności w innych produktach z rodziny Fortinet i na moment publikacji nie wskazał oznak aktywnego wykorzystywania tej konkretnej podatności w środowisku produkcyjnym.

Kontekst / historia

FortiSandbox jest wykorzystywany do analizy podejrzanych plików i obiektów w kontrolowanym środowisku, dlatego odgrywa istotną rolę w architekturze detekcji zagrożeń. Z perspektywy obrony to system o wysokiej wartości, ponieważ integruje się z innymi komponentami bezpieczeństwa i często przetwarza próbki z różnych źródeł sieciowych oraz pocztowych.

W ostatnich latach urządzenia brzegowe i platformy bezpieczeństwa stały się częstym celem ataków, ponieważ ich kompromitacja daje przeciwnikowi uprzywilejowany punkt wejścia do infrastruktury. W przypadku FortiSandbox szczególnie niebezpieczny jest fakt, że podatność dotyczy interfejsu webowego i może być wykorzystana zdalnie bez logowania, co znacząco obniża próg wejścia dla atakującego.

Analiza techniczna

Sednem problemu jest podatność typu command injection w interfejsie WEB UI. Tego rodzaju błąd pojawia się, gdy aplikacja przekazuje dane wejściowe do warstwy systemowej bez właściwej walidacji, kodowania lub separacji kontekstu wykonania. Jeśli wejście użytkownika może wpłynąć na budowę polecenia wykonywanego przez system operacyjny, napastnik może dołączyć własne instrukcje i doprowadzić do ich uruchomienia z uprawnieniami procesu obsługującego żądanie.

W praktyce scenariusz ataku może polegać na wysłaniu specjalnie przygotowanego żądania HTTP do podatnego endpointu zarządzającego. Jeżeli backend nie odfiltruje niebezpiecznych znaków lub fragmentów składni systemowej, serwer może wykonać polecenie osadzone przez atakującego. Konsekwencją może być uruchomienie dowolnego kodu, modyfikacja konfiguracji, utworzenie trwałego dostępu lub wykorzystanie urządzenia jako punktu pivotingu do dalszej penetracji sieci.

Według opublikowanych informacji podatność obejmuje następujące gałęzie wersji:

  • FortiSandbox 5.0.0–5.0.5
  • FortiSandbox 4.4.0–4.4.8
  • FortiSandbox Cloud 5.0.4–5.0.5
  • FortiSandbox PaaS 5.0.4–5.0.5

Zalecane wersje naprawcze to odpowiednio:

  • FortiSandbox 5.0.6 lub nowsza
  • FortiSandbox 4.4.9 lub nowsza
  • FortiSandbox Cloud 5.0.6 lub nowsza
  • FortiSandbox PaaS 5.0.6 lub nowsza

Równolegle producent usunął także dwie luki o średnim poziomie istotności dotyczące FortiOS, FortiProxy i interfejsu API FortiPortal. Choć nie są one tak krytyczne jak CVE-2026-25089, wskazują na potrzebę równoczesnego przeglądu ekspozycji całego ekosystemu Fortinet, a nie wyłącznie pojedynczego produktu.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2026-25089 należy uznać za wysokie z kilku powodów. Po pierwsze, luka nie wymaga uwierzytelnienia, więc atak może zostać przeprowadzony bez posiadania konta w systemie. Po drugie, wektor ataku jest sieciowy, co zwiększa prawdopodobieństwo wykorzystania w środowiskach z błędnie wystawionym interfejsem administracyjnym. Po trzecie, command injection często prowadzi bezpośrednio do pełnej kompromitacji hosta.

Z operacyjnego punktu widzenia skutki mogą obejmować:

  • przejęcie kontroli nad instancją FortiSandbox,
  • manipulację wynikami analizy próbek,
  • wyciek danych konfiguracyjnych i artefaktów bezpieczeństwa,
  • wykorzystanie urządzenia do ruchu bocznego,
  • osłabienie zdolności organizacji do wykrywania i klasyfikacji zagrożeń.

Szczególne zagrożenie dotyczy środowisk, w których urządzenia bezpieczeństwa są traktowane jako zaufane segmenty infrastruktury. Kompromitacja takiego systemu może utrudnić wykrycie aktywności napastnika, a także umożliwić mu wykorzystanie istniejących integracji z innymi narzędziami.

Rekomendacje

Organizacje korzystające z FortiSandbox powinny niezwłocznie zweryfikować wersje wdrożonych instancji i przeprowadzić aktualizację do wersji naprawczych wskazanych przez producenta. Samo odłożenie patchowania może być ryzykowne, ponieważ luki o charakterze pre-auth RCE bardzo szybko stają się obiektem analiz exploit developerskich oraz automatycznych skanerów.

Dobre praktyki operacyjne obejmują:

  • pilne wdrożenie poprawek we wszystkich podatnych instancjach,
  • ograniczenie dostępu do interfejsów administracyjnych wyłącznie z wydzielonych sieci zarządzających,
  • blokowanie bezpośredniej ekspozycji paneli WWW do Internetu, jeśli nie jest to absolutnie konieczne,
  • przegląd logów HTTP, zdarzeń administracyjnych i procesów systemowych pod kątem nietypowych żądań,
  • uruchomienie dodatkowego monitoringu pod kątem tworzenia nieautoryzowanych kont, zmian konfiguracji i nietypowych połączeń wychodzących,
  • weryfikację integralności urządzenia po aktualizacji, zwłaszcza jeśli system był publicznie dostępny,
  • objęcie przeglądem także pozostałych produktów Fortinet, dla których opublikowano poprawki w tym samym cyklu.

Jeżeli istnieje podejrzenie wcześniejszej kompromitacji, rekomendowane jest potraktowanie urządzenia jako potencjalnie przejętego. W takim przypadku należy zebrać artefakty śledcze, odseparować system od sieci zarządzającej, odtworzyć zaufany stan konfiguracji oraz wymienić poświadczenia, które mogły być przechowywane lub wykorzystywane przez platformę.

Podsumowanie

CVE-2026-25089 to krytyczna podatność typu OS command injection w FortiSandbox, umożliwiająca zdalne wykonanie poleceń bez uwierzytelnienia przez spreparowane żądania HTTP. Ze względu na ocenę CVSS 9.8, charakter pre-auth oraz rolę FortiSandbox w infrastrukturze bezpieczeństwa, luka powinna być traktowana priorytetowo. Najważniejszym działaniem pozostaje szybkie wdrożenie poprawek, ograniczenie ekspozycji interfejsów zarządzających oraz kontrola śladów potencjalnego wykorzystania.

Źródła

  • Security Affairs – Fortinet patched a new critical FortiSandbox flaw — https://securityaffairs.com/193509/security/fortinet-patched-a-new-critical-fortisandbox-flaw.html
  • Fortinet PSIRT Advisory FG-IR-26-265 — https://fortiguard.fortinet.com/psirt/FG-IR-26-265