Три критичні вразливості в продуктах лінійки Fortinet FortiSandbox — CVE-2026-39813, CVE-2026-39808 і CVE-2026-25089 — усі з оцінкою CVSS 9.1, привернули увагу спільноти з кібербезпеки після того, як компанія Defused Cyber повідомила про виявлення спроб експлуатації. Вразливості дають змогу неавтентифікованому зловмиснику обходити автентифікацію та виконувати довільні команди на рівні операційної системи. Організаціям, які використовують FortiSandbox, FortiSandbox Cloud і FortiSandbox PaaS, необхідно негайно перевірити статус оновлень.
Технічні деталі вразливостей
CVE-2026-39813 — обхід автентифікації через обходження шляху
Вразливість типу path traversal в API JRPC компонента FortiSandbox. Згідно з даними NVD, вона дає змогу неавтентифікованому атакувальнику обійти механізм автентифікації за допомогою спеціально сформованих HTTP-запитів. Оцінка CVSS — 9.1. За наявною інформацією, патч випущено Fortinet у квітні 2026 року.
CVE-2026-39808 — інʼєкція команд операційної системи
Друга вразливість є інʼєкцією команд ОС, яка, як указано в записі NVD, надає неавтентифікованому зловмиснику можливість виконувати несанкціонований код або команди через спеціально сформовані HTTP-запити. Оцінка CVSS — 9.1. Як повідомляється, виправлення також було випущено у квітні 2026 року.
CVE-2026-25089 — інʼєкція команд у кількох продуктах
Третя вразливість — ще один випадок інʼєкції команд ОС, але з ширшим переліком уражених продуктів. Згідно з NVD, вона зачіпає:
- FortiSandbox
- FortiSandbox Cloud
- FortiSandbox PaaS WEB UI
Вразливість дає змогу неавтентифікованому атакувальнику виконувати несанкціоновані команди через спеціально сформовані HTTP-запити. Оцінка CVSS — 9.1. За даними первинного матеріалу, патч для цієї вразливості було випущено пізніше за решту.
Статус експлуатації та важливі застереження
Необхідно підкреслити: твердження про активну експлуатацію цих вразливостей ґрунтуються на єдиному дописі компанії Defused Cyber у соціальній мережі X. Жодна з трьох CVE не внесена до каталогу CISA KEV (Known Exploited Vulnerabilities). Незалежне підтвердження факту експлуатації «в дикій природі» на момент публікації відсутнє. Це не означає, що спроби експлуатації неможливі — критичність вразливостей (CVSS 9.1, відсутність необхідності автентифікації) робить їх привабливими цілями, — але ступінь достовірності цих тверджень слід оцінювати як низький.
Окремої уваги заслуговує спостереження Defused Cyber про те, що виявлений експлойт для CVE-2026-25089, ймовірно, створено з використанням моделі штучного інтелекту й водночас він містить помилки, які роблять його непрацездатним. Публічно доступний робочий експлойт для цієї вразливості, за наявними даними, не оприлюднено. Втім, ці твердження також походять з єдиного неперевіреного джерела та потребують незалежного підтвердження.
Контекст: пристрої Fortinet як пріоритетна ціль
Продукти Fortinet залишаються одними з найбільш атакованих цілей серед мережевого обладнання корпоративного класу. У квітні 2026 року Fortinet, як повідомляється, випустила позапланові патчі для критичної вразливості CVE-2026-35616 (CVSS 9.1) у FortiClient EMS, яка, за даними вендора, експлуатувалася «в дикій природі». Запис про цю вразливість доступний у NVD.
Сукупність кількох критичних вразливостей у продуктах одного вендора за короткий проміжок часу — тривожний сигнал для організацій, які покладаються на екосистему Fortinet для захисту периметра та аналізу зловмисного ПЗ.
Оцінка впливу
FortiSandbox — ключовий компонент інфраструктури безпеки, який використовується для динамічного аналізу підозрілих файлів і виявлення складних загроз. Компрометація цього пристрою несе подвійний ризик:
- Пряма шкода: виконання довільних команд на рівні ОС дає атакувальнику повний контроль над пристроєм, можливість перехоплення аналізованих зразків і доступ до внутрішньої мережі.
- Підрив довіри до захисту: скомпрометована пісочниця може цілеспрямовано пропускати зловмисні файли, створюючи хибне відчуття безпеки.
Найбільшому ризику піддаються великі організації та постачальники керованих послуг безпеки (MSSP), які використовують FortiSandbox, FortiSandbox Cloud або FortiSandbox PaaS для централізованого аналізу загроз.
Практичні рекомендації
- Негайно перевірте версії усіх екземплярів FortiSandbox, FortiSandbox Cloud і FortiSandbox PaaS у вашій інфраструктурі. Зверніться до офіційних рекомендацій Fortinet (PSIRT), щоб отримати точні номери виправлених версій.
- Застосуйте доступні патчі для CVE-2026-39813, CVE-2026-39808 і CVE-2026-25089 у пріоритетному порядку. Усі три вразливості не вимагають автентифікації для експлуатації, що суттєво знижує поріг для проведення атаки.
- Обмежте мережевий доступ до інтерфейсів керування FortiSandbox. API JRPC та WEB UI не повинні бути доступними з інтернету. Використовуйте сегментацію мережі та списки контролю доступу.
- Проведіть аудит журналів на предмет аномальних HTTP-запитів до API JRPC і вебінтерфейсу FortiSandbox, особливо запитів із ознаками обходу шляху або нетиповими параметрами.
- Перевірте FortiClient EMS — якщо в інфраструктурі використовується цей продукт, переконайтеся, що патч для CVE-2026-35616 також установлено.
Три вразливості з оцінкою CVSS 9.1, які не потребують автентифікації та зачіпають критичний компонент інфраструктури безпеки, — це підстава для негайного встановлення патчів, навіть за відсутності підтвердженої масової експлуатації. Пріоритетна дія — оновлення всіх екземплярів FortiSandbox до виправлених версій і обмеження мережевого доступу до інтерфейсів керування до завершення оновлення.
