В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость с идентификатором BDU:2026-07887 (CVE-2026-26083). Она затрагивает продукт FortiSandbox компании Fortinet Inc. Речь идёт о системе, предназначенной для выявления и устранения угроз в изолированной среде. По сути, это специализированное средство защиты, которое анализирует подозрительные файлы до того, как те попадут в рабочую сеть. Теперь же выяснилось, что сама эта защита оказалась уязвимой.
Детали уязвимости
Ошибка классифицируется как CWE-862 - отсутствие авторизации. Это означает, что злоумышленник может обратиться к определённым функциям системы без какой-либо проверки прав доступа. Ему не нужен логин, пароль или сессионный токен. Достаточно иметь сетевой доступ к уязвимому устройству. Эксплуатация этой уязвимости, как указано в описании, позволяет нарушителю, действующему удалённо, выполнить произвольный код. Иными словами, атакующий может полностью захватить контроль над системой.
Особую тревогу вызывают показатели оценки опасности. По шкале CVSS 2.0 базовая оценка составляет максимальные 10 баллов. Более современная версия CVSS 3.1 оценивает уязвимость в 9,8 балла. Обе оценки соответствуют категории "критический уровень опасности". Вектор атаки при этом выглядит устрашающе: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Расшифруем эти обозначения простым языком. Атака возможна удалённо через сеть (AV:N). Сложность её реализации низкая (AC:L). Злоумышленнику не требуются никакие привилегии (PR:N). Взаимодействие с пользователем не нужно (UI:N). И, что самое опасное, компрометация одного сегмента не влияет на остальные (S:U), но последствия для конфиденциальности, целостности и доступности данных оцениваются как высокие (C:H/I:H/A:H). Это значит, что атакующий может не только украсть информацию, но и изменить её или полностью парализовать работу системы.
Какие же версии попали под удар? Список внушительный. Уязвимыми признаны локальные версии FortiSandbox от 4.4.0 до 4.4.9, а также от 5.0.0 до 5.0.2. Облачные версии FortiSandbox Cloud версий 23 и 24 также в зоне риска, равно как и версии от 5.0.2 до 5.0.6. Особенно широкий охват у платформы FortiSandbox PaaS: под угрозой все версии начиная с 21.3, 21.4, 22.1, 22.2, 23.1, 23.3, 23.4, а также диапазоны от 4.4.5 до 4.4.9 и от 5.0.0 до 5.0.2. Таким образом, уязвимость затрагивает практически все поколения продукта, находящиеся в эксплуатации.
Теперь перейдём к анализу ситуации с точки зрения эксперта. FortiSandbox обычно используется в крупных корпоративных сетях и государственных учреждениях. Это не рядовой файрвол, а сложный аналитический инструмент. Он обрабатывает потенциально опасные вложения электронной почты, загруженные пользователями файлы и сетевые потоки данных. Компрометация такого инструменты даёт злоумышленнику уникальную возможность. Он может не только получить доступ к внутренней сети, но и подменять результаты анализа. Представьте: система, которая должна блокировать вредоносное ПО, начнёт пропускать его, помечая как безопасное. Кроме того, получив контроль над FortiSandbox, атакующий может использовать его как точку для бокового перемещения внутри инфраструктуры и атаки на другие системы.
Важно понимать механизм эксплуатации. Поскольку ошибка кроется в отсутствии авторизации, атакующему не нужно проходить аутентификацию. Он направляет специально сформированный HTTP-запрос к одному из интерфейсов управления продуктом. В ответ система выполняет код злоумышленника. Это классический сценарий, при котором киберпреступник может загрузить веб-шелл или сразу получить командную оболочку операционной системы.
На данный момент, согласно информации из BDU, статус уязвимости подтверждён производителем. Данные о наличии публичного эксплойта уточняются. Однако опыт показывает, что при столь высокой критичности (CVSS 9,8) технические детали уязвимости или готовые эксплойты появляются в открытом доступе в течение нескольких дней или недель после публикации.
Что касается устранения проблемы, то здесь ситуация обнадёживающая. Производитель уже выпустил исправления. Fortinet Inc. опубликовала бюллетень безопасности с идентификатором FG-IR-26-136 на своём портале FortiGuard. В нём содержатся подробные инструкции и ссылки для скачивания обновлённых версий. Уязвимость устранена производителем, что означает необходимость срочного обновления всех затронутых систем.
Какие меры могут предпринять специалисты? В первую очередь, необходимо немедленно обратиться к рекомендациям разработчика и установить патчи для всех версий FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS. Если обновление невозможно провести немедленно, следует ограничить сетевой доступ к интерфейсам управления продуктом. Лучше всего изолировать FortiSandbox от глобальной сети и разрешить подключения только с доверенных IP-адресов администраторов. Стоит также проверить системные журналы на предмет подозрительной активности, которая могла произойти до установки обновления.
В заключение стоит подчеркнуть, что данная уязвимость является серьёзным напоминанием о том, что даже самые сложные средства защиты могут содержать критические ошибки. Отсутствие авторизации - это, пожалуй, одна из самых опасных категорий проблем, так как она полностью нивелирует все последующие слои обороны. Командам безопасности необходимо действовать оперативно, ведь цена промедления может быть очень высокой. Любая организация, использующая FortiSandbox, должна считать устранение этой уязвимости задачей наивысшего приоритета.
Ссылки
- https://bdu.fstec.ru/vul/2026-07887
- https://www.cve.org/CVERecord?id=CVE-2026-26083
- https://fortiguard.fortinet.com/psirt/FG-IR-26-136
