В сфере информационной безопасности появилась новая серьёзная угроза, затрагивающая корпоративные сети по всему миру. Для критической уязвимости в устройстве анализа угроз FortiSandbox от компании Fortinet был обнародован рабочий эксплойт, то есть доказательство концепции (Proof-of-Concept). Это означает, что технические детали атаки, позволяющей получить полный контроль над системой, теперь доступны любому, включая злоумышленников с минимальными навыками. Учитывая распространённость решений Fortinet в инфраструктуре предприятий и государственных организаций, инцидент требует немедленного внимания со стороны администраторов безопасности.
CVE-2026-39808 Proof-of-Concept
Уязвимость, получившая идентификатор CVE-2026-39808, была первоначально обнаружена ещё в ноябре 2025 года. Разработчик, Fortinet, оперативно выпустил исправление, однако подробности проблемы были официально обнародованы лишь в апреле 2026 года в бюллетене безопасности под номером FG-IR-26-100. Недавно исследователь Сэмюэль де Лукас опубликовал на GitHub рабочий код эксплойта, наглядно демонстрирующий простоту эксплуатации этой бреши. Теперь, когда инструмент для атаки находится в свободном доступе, риск массовых взломов непропатченных систем многократно возрастает.
С технической точки зрения, проблема кроется в недостаточной проверке входных данных в одном из веб-компонентов FortiSandbox, а именно в эндпоинте "/fortisandbox/job-detail/tracer-behavior". Как подробно описал де Лукас, злоумышленник может внедрить произвольные команды операционной системы через параметр запроса "jid", используя символ вертикальной черты (|) для выхода за пределы ожидаемой логики приложения. Вредоносные инструкции выполняются с правами суперпользователя root, что предоставляет атакующему абсолютный контроль над устройством. Для упрощения эксплуатации эксплойт перенаправляет вывод выполненных команд в текстовый файл в корневой веб-директории, который затем можно легко скачать через браузер. Поразительно, но для успешной атаки достаточно отправить всего один корректно сформированный HTTP-запрос, например, с помощью утилиты "curl", причём без какой-либо аутентификации или наличия учётных данных.
Под угрозой находятся версии FortiSandbox с 4.4.0 по 4.4.8 включительно. Устройства этого класса являются ключевым элементом многих современных систем защиты, так как предназначены для детального анализа подозрительных файлов и поведения в изолированной среде (песочнице). Компрометация такого компонента равносильна получению злоумышленником плацдарма в самом сердце защитной инфраструктуры организации. Оттуда возможно проведение дальнейших атак на внутренние сети, кража конфиденциальных данных, установка программ-вымогателей или скрытое наблюдение за сетевым трафиком.
Публикация эксплойта резко повышает вероятность активного использования уязвимости в дикой среде. Киберпреступные группировки и операторы ботнетов постоянно проводят сканирование интернета в поисках уязвимых устройств Fortinet, а простота данной атаки делает её чрезвычайно привлекательной целью. Угроза особенно актуальна для автоматизированных атак, когда процесс поиска и взлома может быть поставлен на поток. В свою очередь, для организаций, использующих уязвимые версии, промедление с установкой обновлений чревато серьёзными последствиями, включая финансовые убытки и репутационный ущерб.
В свете сложившейся ситуации администраторам безопасности настоятельно рекомендуется предпринять срочные меры. Первым и обязательным шагом является немедленное обновление FortiSandbox до версии, не входящей в уязвимый диапазон 4.4.0-4.4.8. Параллельно следует провести аудит журналов событий на предмет подозрительных GET-запросов к пути "/fortisandbox/job-detail/tracer-behavior". Также необходимо проверить корневые веб-директории на наличие неожиданных текстовых файлов, которые могут свидетельствовать о том, что злоумышленники уже тестировали систему на предмет уязвимости. Для получения дополнительной информации и возможных временных обходных решений следует обратиться к официальному бюллетеню группы реагирования на инциденты безопасности (PSIRT) компании Fortinet.
Данный инцидент в очередной раз подчёркивает критическую важность своевременного применения исправлений безопасности, особенно для сетевых периметровых устройств. Период между закрытием уязвимости вендором и публикацией деталей эксплойта часто является временем ложного спокойствия, однако, как показывает практика, он может внезапно закончиться. Организациям необходимо выстроить эффективный процесс управления обновлениями, чтобы минимизировать окно уязвимости и защитить свою инфраструктуру от быстро эволюционирующих угроз.
Ссылки
- https://github.com/samu-delucas/CVE-2026-39808
- https://www.cve.org/CVERecord?id=CVE-2026-39808
- https://fortiguard.fortinet.com/psirt/FG-IR-26-100
