CISA добавила в каталог активно эксплуатируемых уязвимостей две критические ошибки в FortiSandbox

Cybersecurity and Infrastructure Security Agency, CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло в свой каталог активно эксплуатируемых уязвимостей (KEV) две критические ошибки в продукте Fortinet FortiSandbox. Обе уязвимости относятся к категории внедрения команд операционной системы и получили идентификаторы CVE-2026-25089 и CVE-2026-39808. Решение CISA основано на подтверждённых данных о том, что эти уязвимости уже используются злоумышленниками в реальных атаках.

Детали уязвимостей

Обе проблемы затрагивают механизм обработки специальных элементов в HTTP-запросах к FortiSandbox. При успешной эксплуатации неаутентифицированный злоумышленник может выполнить произвольные команды на уровне операционной системы целевого устройства. Каждая из уязвимостей получила максимальную оценку критичности по шкале CVSS в 9,1 балла из десяти возможных. Вектор атаки оценивается как сетевой, без необходимости в аутентификации или взаимодействии с пользователем, что делает обе ошибки особенно опасными для развёртываний, доступных из внешних сетей.

CVE-2026-25089 присутствует в широком диапазоне версий FortiSandbox. Согласно бюллетеню Fortinet, она затрагивает FortiSandbox версий с 5.0.0 по 5.0.5, с 4.4.0 по 4.4.8, а также все версии ветки 4.2.x. Кроме того, уязвимость подтверждена в облачных версиях FortiSandbox Cloud и FortiSandbox PaaS, начиная с версии 5.0.4 по 5.0.5. Вторая уязвимость, CVE-2026-39808, уже упоминалась в апрельском бюллетене Fortinet и затрагивает более старую ветку: FortiSandbox версий с 4.4.0 по 4.4.8. Также в зоне риска оказались облачные версии FortiSandbox PaaS с определёнными номерами сборок, охватывающими диапазон с 21.3.4055 по 23.4.4374.

Важно подчеркнуть, что обе уязвимости относятся к одному типу - внедрение команд ОС (CWE-78). Это означает, что злоумышленник может отправить специально сформированный HTTP-запрос к уязвимому устройству. Если целевой сервер обрабатывает его без должной проверки, вредоносные данные интерпретируются как часть системной команды. В результате атакующий получает возможность выполнить произвольный код с привилегиями самого приложения, что в случае с FortiSandbox обычно означает доступ к операционной системе на уровне администратора.

FortiSandbox - это специализированное устройство для анализа файлов и ссылок на предмет вредоносной активности. Оно широко используется в корпоративных и государственных сетях для изоляции и проверки подозрительных объектов. Успешная компрометация такого устройства даёт злоумышленнику не только контроль над самой системой анализа, но и потенциальный доступ к внутренним сетям организации, где оно развёрнуто. Кроме того, атакующий может модифицировать результаты работы песочницы, подменяя вердикты для файлов, что полностью нивелирует защитные функции продукта.

Уязвимости представляют угрозу для всех организаций, использующих FortiSandbox, независимо от отрасли и юрисдикции. Fortinet выпустила патчи для обеих уязвимостей: для версий 5.0.x обновление включает версию 5.0.6 и выше, для ветки 4.4.x - 4.4.9, для 4.2.x - 4.2.9 или последнюю доступную. Для облачных версий FortiSandbox Cloud и PaaS рекомендуется обновить платформу до актуальных сборок, указанных в бюллетене безопасности.

Администраторам также следует временно ограничить доступ к панели управления FortiSandbox и веб-интерфейсам устройства, если немедленное обновление невозможно. Рекомендуется использовать списки контроля доступа и брандмауэры для блокировки HTTP-запросов к уязвимому продукту из ненадёжных сетей. Проверка журналов на наличие подозрительных запросов с кодом ошибки или нестандартными параметрами может помочь выявить попытки эксплуатации.

Ситуация с двумя одновременно активными уязвимостями внедрения команд ОС в одном продукте подчёркивает сохраняющуюся проблему в реализации обработки пользовательского ввода в сетевых устройствах. FortiSandbox, как и многие другие системы анализа, выполняет команды оболочки для обработки файлов, и эта функциональность остаётся частой мишенью для исследователей и злоумышленников. Добавление обеих уязвимостей в каталог CISA на основании фактов активной эксплуатации означает, что время на размышления у администраторов закончилось: патчи необходимо применять в максимально сжатые сроки.

Ссылки

Комментарии: 0