Три критические уязвимости в продуктах линейки Fortinet FortiSandbox — CVE-2026-39813, CVE-2026-39808 и CVE-2026-25089 — все с оценкой CVSS 9.1, привлекли внимание сообщества кибербезопасности после того, как компания Defused Cyber сообщила о наблюдении попыток эксплуатации. Уязвимости позволяют неаутентифицированному злоумышленнику обходить аутентификацию и выполнять произвольные команды на уровне операционной системы. Организациям, использующим FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS, необходимо незамедлительно проверить статус обновлений.
Технические детали уязвимостей
CVE-2026-39813 — обход аутентификации через обход пути
Уязвимость типа path traversal в API JRPC компонента FortiSandbox. Согласно данным NVD, она позволяет неаутентифицированному атакующему обойти механизм аутентификации посредством специально сформированных HTTP-запросов. Оценка CVSS — 9.1. По имеющимся данным, патч выпущен Fortinet в апреле 2026 года.
CVE-2026-39808 — инъекция команд операционной системы
Вторая уязвимость представляет собой инъекцию команд ОС, которая, как указано в записи NVD, даёт неаутентифицированному злоумышленнику возможность выполнять несанкционированный код или команды через специально сформированные HTTP-запросы. Оценка CVSS — 9.1. Как сообщается, исправление также было выпущено в апреле 2026 года.
CVE-2026-25089 — инъекция команд в нескольких продуктах
Третья уязвимость — ещё один случай инъекции команд ОС, но с более широким охватом затронутых продуктов. Согласно NVD, она затрагивает:
- FortiSandbox
- FortiSandbox Cloud
- FortiSandbox PaaS WEB UI
Уязвимость позволяет неаутентифицированному атакующему выполнять несанкционированные команды через специально сформированные HTTP-запросы. Оценка CVSS — 9.1. По данным исходного материала, патч для этой уязвимости был выпущен позднее остальных.
Статус эксплуатации и важные оговорки
Необходимо подчеркнуть: заявления об активной эксплуатации этих уязвимостей основаны на единственном посте компании Defused Cyber в социальной сети X. Ни одна из трёх CVE не внесена в каталог CISA KEV (Known Exploited Vulnerabilities). Независимое подтверждение факта эксплуатации в дикой природе на момент публикации отсутствует. Это не означает, что попытки эксплуатации невозможны, — критичность уязвимостей (CVSS 9.1, отсутствие необходимости аутентификации) делает их привлекательными целями, — но степень достоверности этих утверждений следует оценивать как низкую.
Отдельного внимания заслуживает наблюдение Defused Cyber о том, что обнаруженный эксплойт для CVE-2026-25089 предположительно создан с использованием модели искусственного интеллекта и при этом содержит ошибки, делающие его неработоспособным. Публично доступный рабочий эксплойт для этой уязвимости, по имеющимся данным, не раскрыт. Однако эти утверждения также исходят из единственного неверифицированного источника и требуют независимого подтверждения.
Контекст: устройства Fortinet как приоритетная цель
Продукты Fortinet остаются одной из наиболее атакуемых целей среди сетевого оборудования корпоративного класса. В апреле 2026 года Fortinet, как сообщается, выпустила внеплановые патчи для критической уязвимости CVE-2026-35616 (CVSS 9.1) в FortiClient EMS, которая, по данным вендора, эксплуатировалась в дикой природе. Запись об этой уязвимости доступна в NVD.
Совокупность нескольких критических уязвимостей в продуктах одного вендора за короткий период — тревожный сигнал для организаций, полагающихся на экосистему Fortinet для защиты периметра и анализа вредоносного ПО.
Оценка воздействия
FortiSandbox — ключевой компонент инфраструктуры безопасности, используемый для динамического анализа подозрительных файлов и обнаружения продвинутых угроз. Компрометация этого устройства несёт двойной риск:
- Прямой ущерб: выполнение произвольных команд на уровне ОС даёт атакующему полный контроль над устройством, возможность перехвата анализируемых образцов и доступ к внутренней сети.
- Подрыв доверия к защите: скомпрометированная песочница может целенаправленно пропускать вредоносные файлы, создавая ложное чувство безопасности.
Наибольшему риску подвержены крупные организации и поставщики управляемых услуг безопасности (MSSP), использующие FortiSandbox, FortiSandbox Cloud или FortiSandbox PaaS для централизованного анализа угроз.
Практические рекомендации
- Немедленно проверьте версии всех экземпляров FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS в вашей инфраструктуре. Обратитесь к официальным рекомендациям Fortinet (PSIRT) для получения точных номеров исправленных версий.
- Примените доступные патчи для CVE-2026-39813, CVE-2026-39808 и CVE-2026-25089 в приоритетном порядке. Все три уязвимости не требуют аутентификации для эксплуатации, что существенно снижает порог атаки.
- Ограничьте сетевой доступ к интерфейсам управления FortiSandbox. API JRPC и WEB UI не должны быть доступны из интернета. Используйте сегментацию сети и списки контроля доступа.
- Проведите аудит журналов на предмет аномальных HTTP-запросов к API JRPC и веб-интерфейсу FortiSandbox, особенно запросов с признаками обхода пути или нетипичными параметрами.
- Проверьте FortiClient EMS — если в инфраструктуре используется этот продукт, убедитесь, что патч для CVE-2026-35616 также установлен.
Три уязвимости с оценкой CVSS 9.1, не требующие аутентификации и затрагивающие критический компонент инфраструктуры безопасности, — это основание для немедленного патчинга, даже при отсутствии подтверждённой массовой эксплуатации. Приоритетное действие — обновление всех экземпляров FortiSandbox до исправленных версий и ограничение сетевого доступа к интерфейсам управления до завершения обновления.
