Компания Fortinet официально подтвердила наличие опасной уязвимости в своей песочнице для анализа вредоносного кода FortiSandbox. Этот продукт широко используется крупными предприятиями и государственными организациями для изоляции и изучения подозрительных файлов. Теперь же выяснилось, что сама система анализа может стать точкой входа для злоумышленников.
Уязвимость CVE-2026-25089
Проблеме присвоен идентификатор CVE-2026-25089. Речь идет об уязвимости класса OS command injection (инъекция команд операционной системы). По шкале CVSS v3 (общепринятая система оценки критичности уязвимостей) она получила 9,1 балла из десяти. Это означает чрезвычайно высокий уровень опасности. Корень проблемы кроется в некорректной нейтрализации специальных элементов при формировании системных команд в веб-интерфейсе управления FortiSandbox.
Уязвимость проявляется в функции "start VNC" (запуск удаленного рабочего стола) внутри графического интерфейса. Злоумышленник может отправить специально сформированный JSON-запрос, который инициирует так называемую командную инъекцию второго порядка. При таком типе атаки вредоносные данные сначала сохраняются или обрабатываются системой, а затем выполняются в другом контексте. Это существенно усложняет обнаружение вторжения стандартными средствами мониторинга.
Самое тревожное - для эксплуатации уязвимости не требуется никакой аутентификации. Любой пользователь, имеющий сетевой доступ к интерфейсу управления, может отправить HTTP-запрос и выполнить произвольные команды на уровне операционной системы. Это значит, что атака возможна удаленно, без предварительного взлома учетных записей. Особенно велик риск для систем, которые ошибочно выставили веб-интерфейс в публичный интернет.
Успешное использование уязвимости позволяет атакующему полностью скомпрометировать сервер. В руках злоумышленника оказываются все функции управления, возможность чтения, изменения и удаления данных. Кроме того, открывается путь для бокового перемещения внутри корпоративной сети - после захвата песочницы можно атаковать другие системы, которые обмениваются с ней информацией.
Под удар попали несколько линеек продукта. Проблема присутствует в FortiSandbox версий с 5.0.0 по 5.0.5 включительно, а также в версиях с 4.4.0 по 4.4.8. Кроме того, она затрагивает облачные развертывания FortiSandbox Cloud и PaaS (платформа как услуга) в версиях с 5.0.4 по 5.0.5. Важно понимать, что более новые версии FortiSandbox 5.2, FortiSandbox Cloud 5.2 и FortiSandbox PaaS 23.4 не содержат данной уязвимости. Разработчики уже выпустили исправления и настоятельно рекомендуют обновиться до FortiSandbox 5.0.6 (или новее), FortiSandbox 4.4.9 (или новее), а также до соответствующих версий облачных и PaaS-редакций - 5.0.6 и выше.
На данный момент нет подтвержденных сообщений об активной эксплуатации уязвимости в реальных атаках. Однако критический уровень опасности и простота использования заставляют отнестись к проблеме максимально серьезно. Специалисты по информационной безопасности советуют не дожидаться появления эксплойтов и немедленно установить патчи.
В качестве временных мер защиты рекомендуется ограничить доступ к веб-интерфейсу FortiSandbox по IP-адресам. Ни в коем случае нельзя оставлять его открытым в интернет - только внутри доверенной сети. Также следует настроить мониторинг логов на предмет подозрительных HTTP-запросов, особенно тех, что содержат конструкции JSON или обращения к функции запуска VNC (удаленного рабочего стола).
Уязвимость была обнаружена внутренней командой Fortinet - ее нашел сотрудник Product Security Incident Response Team (группа реагирования на инциденты безопасности продуктов) Адхам Эль Карн. Публичное раскрытие произошло 9 июня 2026 года под номером уведомления FG-IR-26-141.
Эта ситуация в очередной раз напоминает о том, что защитные инструменты сами могут стать уязвимой точкой входа. Песочницы традиционно работают с высокорисковыми файлами - именно туда отправляют подозрительные вложения и ссылки. Злоумышленники отлично понимают ценность таких систем. Успешная атака на FortiSandbox может дать им не только контроль над самим анализатором, но и доступ к данным, которые через него проходят, а также к связанным корпоративным ресурсам.
Поэтому командам безопасности следует не только оперативно установить патчи, но и пересмотреть общую архитектуру доступа к средам анализа угроз. Если песочница была развернута с избыточными сетевыми правами или без сегментации, сейчас - лучшее время исправить эти недостатки.
Ссылки
