Компания Fortinet выпустила обновления для своей платформы анализа угроз FortiSandbox, закрыв критическую уязвимость, которая позволяла неаутентифицированным злоумышленникам выполнять произвольный код. Проблема получила идентификатор CVE-2026-26083 (стандартный номер уязвимости в международной базе) и максимальную оценку 9,1 по шкале CVSS (методика оценки критичности уязвимостей, где 10 - наивысший уровень опасности).
Суть проблемы
Уязвимость связана с отсутствием авторизации в веб-интерфейсе продуктов FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS. Говоря проще, злоумышленник, не имеющий никаких учётных данных, может отправлять специально сформированные HTTP-запросы (запросы по протоколу передачи гипертекста) к системе. Из-за недостаточной проверки прав доступа сервер обрабатывает эти запросы, что открывает путь к выполнению вредоносного кода.
Важно понимать, что FortiSandbox - это не рядовое устройство. Речь идёт о специализированном решении, которое используется для автоматического анализа подозрительных файлов и ссылок в изолированной среде. Корпоративные клиенты доверяют ему проверку потенциально опасного контента. И вот здесь возникает парадокс: инструмент, созданный для борьбы с угрозами, сам становится уязвимым звеном.
Какие версии под угрозой
Fortinet опубликовала детальный список версий, подверженных проблеме. В локальной версии FortiSandbox под удар попали релизы 4.4 от 4.4.0 до 4.4.8 включительно и 5.0 от 5.0.0 до 5.0.1. Облачные версии FortiSandbox Cloud 23 и 24 полностью уязвимы во всех доступных вариантах, равно как и версия 5.0 от 5.0.2 до 5.0.5. Схожая ситуация наблюдается у FortiSandbox PaaS (продукт, предоставляемый по модели "платформа как услуга"): здесь список затронутых релизов охватывает версии 21.3, 21.4, 22.1, 22.2, 23.1, 23.3 и 23.4 - все без исключения.
По сути, перед нами широкая поверхность атаки. Компании, использующие даже относительно свежие версии FortiSandbox, могли оставаться незащищёнными от этой угрозы.
Технические детали и вектор атаки
Уязвимость классифицируется как CWE-862 (стандартный перечень типов уязвимостей) - отсутствие авторизации. Это означает, что механизмы контроля доступа в веб-интерфейсе системы не проверяют, имеет ли пользователь право выполнять определённые действия. Злоумышленник может отправить HTTP-запрос (команду, переданную по протоколу передачи данных) напрямую к уязвимому компоненту, и система обработает его, не запрашивая подтверждения личности.
В результате атакующий получает возможность выполнить команды на сервере - это называется удалённым выполнением кода. Такой сценарий позволяет злоумышленнику не только скомпрометировать саму систему анализа угроз, но и использовать её как точку входа во внутреннюю сеть организации. Учитывая высокие привилегии, с которыми обычно работают такие платформы, последствия могут быть катастрофическими.
Вероятные последствия
Удалённое выполнение кода на FortiSandbox означает, что злоумышленник может полностью контролировать устройство. Он способен изменить конфигурацию, получить доступ к истории анализа файлов, перехватить образцы вредоносного ПО, которые загружают пользователи, или, что ещё опаснее, подменить результаты проверки. Представьте: система, которой доверяют выявление угроз, вместо этого начинает пропускать их, а то и внедрять собственные.
Кроме того, FortiSandbox часто интегрируется с другими решениями безопасности, например, с межсетевыми экранами или системами обнаружения вторжений. Компрометация одного элемента может привести к цепной реакции и поставить под удар всю инфраструктуру информационной безопасности предприятия.
Реакция вендора
Компания Fortinet признала проблему и выпустила исправления практически для всех затронутых версий. Разработчики рекомендуют немедленно обновить FortiSandbox до версии 4.4.9 или 5.0.2 (в зависимости от используемой ветки релизов). Для облачных версий и PaaS необходимо мигрировать на исправленные версии, которые вендор уже развернул на своих мощностях.
Примечательно, что уязвимость была обнаружена внутренней командой безопасности Fortinet - сотрудником по имени Адам Эль Карн. Это означает, что на момент публикации предупреждения не было известно о случаях эксплуатации уязвимости в реальных атаках. Однако эксперты предупреждают, что такая информация не должна успокаивать: злоумышленники часто начинают сканировать уязвимые системы сразу после появления официального бюллетеня.
Что делать специалистам?
Ответственным за информационную безопасность следует в первую очередь проверить версии используемых продуктов FortiSandbox в своей инфраструктуре. Если устройство попадает под список уязвимых, обновление необходимо провести в ближайшее время, желательно в течение нескольких дней. Учитывая критичность уязвимости и максимальную оценку риска, промедление может стоить дорого.
Особое внимание стоит уделить облачным версиям: здесь обновление ложится на плечи провайдера, но клиентам важно удостовериться, что миграция на исправленный релиз уже выполнена. В некоторых случаях может потребоваться прямое обращение в службу поддержки Fortinet для уточнения статуса.
Для компаний, которые по каким-то причинам не могут немедленно установить обновление, временной мерой может стать ограничение доступа к веб-интерфейсу FortiSandbox из внешних сетей. Хотя это не устраняет уязвимость полностью, такой шаг существенно снижает поверхность атаки.
Выводы
Инцидент с FortiSandbox - очередное напоминание о том, что даже самые защищённые системы могут содержать критические изъяны. Проблемы авторизации и контроля доступа остаются одними из самых распространённых классов уязвимостей, и их последствия зачастую недооценивают. Организациям, использующим продукты Fortinet, стоит взять эту публикацию за основу для внеплановой проверки своей инфраструктуры и убедиться, что патчи установлены на всех затронутых устройствах. Цена промедления в данном случае - полная компрометация инструмента безопасности, что ставит под удар всю сеть компании.
Ссылки
