9 июня 2026 года специалисты по кибербезопасности зафиксировали опасную уязвимость в продуктах Fortinet FortiSandbox и FortiSandbox Cloud. Проблема получила идентификатор BDU:2026-08316 и номер CVE-2026-25089. Речь идёт о критическом дефекте, который позволяет злоумышленнику, действующему удалённо, выполнить произвольные команды на уязвимом оборудовании.
Детали уязвимости
FortiSandbox - это система выявления и устранения угроз. Она анализирует подозрительные файлы в изолированной среде, так называемой "песочнице". Такие решения критически важны для защиты корпоративных сетей. И вот теперь выяснилось, что в графическом пользовательском интерфейсе этого средства защиты присутствует ошибка типа "внедрение в команду операционной системы". Иными словами, злоумышленник может отправить специально сформированный HTTP-запрос и заставить устройство выполнить произвольные команды. Для этого используются особые элементы, которые система не нейтрализует должным образом.
Уровень опасности действительно высок. Базовый вектор по версии CVSS 3.1 составил 9,8 из 10. Метрики показывают, что атака не требует аутентификации, не нуждается во взаимодействии с пользователем, а сложность её проведения минимальна. Успешная эксплуатация приводит к полной компрометации системы: нарушитель получает возможность управлять конфиденциальностью, целостностью и доступностью данных. При этом, как указано в описании, эксплойт уже существует. Это означает, что технически подготовленные злоумышленники могут начать активные действия в ближайшее время.
Уязвимость затрагивает несколько линеек продуктов. Под удар попадают версии FortiSandbox от 4.2.0 до 4.2.8, от 4.4.0 до 4.4.9, а также от 5.0.0 до 5.0.6 включительно. Кроме того, в зоне риска находятся облачные версии - FortiSandbox Cloud версий от 5.0.2 до 5.0.6 и FortiSandbox PaaS версий 5.0.0-5.0.6. Производитель уже подтвердил наличие уязвимости и выпустил обновления для её устранения. Соответствующая рекомендация опубликована на портале FortiGuard.
Для специалистов по информационной безопасности это тревожный сигнал. FortiSandbox часто используется как ключевой элемент защиты периметра сети. Если злоумышленник получает контроль над такой платформой, он может не только похитить анализируемые данные, но и использовать устройство как трамплин для проникновения во внутреннюю инфраструктуру компании. Атака класса "инъекция команд" в контексте песочницы особенно опасна, потому что такие системы по умолчанию имеют высокие привилегии.
Важно отметить, что проблема относится к типу CWE-78 (непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы). Это классическая ошибка недостаточной валидации входных данных. Когда приложение принимает данные от пользователя и передаёт их в командную оболочку без предварительной очистки, атакующий может встроить в запрос дополнительные команды. В случае с FortiSandbox для этого достаточно отправить запрос к графическому интерфейсу.
На данный момент производитель уже устранил уязвимость, поэтому первоочередная мера защиты - срочно обновить программное обеспечение до актуальных версий. Тем не менее, специалистам по безопасности рекомендуется также проверить логи на предмет подозрительных запросов к веб-интерфейсу, особенно за последний месяц. Хотя информации о случаях реальной эксплуатации пока не опубликовано, наличие подтверждённого PoC означает, что время на раскачку практически нет.
Особое внимание стоит уделить версиям, которые вышли из поддержки. Если организация использует FortiSandbox старше версии 4.2.0 или 4.4.0, то обновление может быть недоступно. В таком случае инцидент переходит в разряд неустранимых штатными средствами, и необходимо рассматривать альтернативные меры компенсации: изоляцию устройства от внешних сетей, настройку строгих правил брандмауэра или переход на поддерживаемые версии.
В итоге перед нами классическая ситуация для 2026 года: критическая уязвимость в корпоративном средстве защиты, которая позволяет удалённо взять систему под контроль без какой-либо аутентификации. Единственное, что могут сделать администраторы прямо сейчас, - применить патч. Откладывать это не стоит, ведь шкала CVSS в 9,8 баллов говорит сама за себя.
Ссылки
- https://bdu.fstec.ru/vul/2026-08316
- https://www.cve.org/CVERecord?id=CVE-2026-25089
- https://fortiguard.fortinet.com/psirt/FG-IR-26-141
