Специалисты по кибербезопасности предупреждают о выявлении критической уязвимости в системе анализа угроз FortiSandbox компании Fortinet. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-01725, связана с недостаточной защитой структуры веб-страницы административного интерфейса. Соответственно, успешная эксплуатация данной уязвимости может позволить злоумышленнику выполнить произвольный код на атакуемом устройстве. Уязвимость получила идентификатор CVE-2025-52436.
Детали уязвимости
Угроза затрагивает несколько версий программного обеспечения FortiSandbox, включая 4.0, 4.2, а также версии от 4.4.0 до 4.4.8 и от 5.0.0 до 5.0.2. FortiSandbox является ключевым компонентом безопасности, предназначенным для выявления сложных вредоносных угроз, таких как целенаправленные атаки (APT) и программы-вымогатели (ransomware). Поэтому компрометация этой системы создает серьезные риски для всей защищаемой инфраструктуры.
Уязвимость классифицируется как межсайтовый скриптинг (XSS), тип инъекции, когда в веб-страницу внедряется вредоносный код. Однако в данном случае последствия выходят за рамки типичной XSS-атаки. Эксперты указывают, что из-за архитектурных особенностей FortiSandbox злоумышленник, действуя удаленно и не требуя аутентификации, может использовать эту уязвимость для выполнения команд на уровне операционной системы. По сути, это предоставляет полный контроль над устройством.
Уровень опасности оценен как критический по шкале CVSS 2.0 с максимальным баллом 10.0. По более современной шкале CVSS 3.1 базовый балл составляет 8.8, что соответствует высокому уровню опасности. Высокая оценка обусловлена тем, что для атаки не требуются специальные привилегии или взаимодействие с пользователем, а потенциальный ущерб включает полную компрометацию конфиденциальности, целостности и доступности системы.
Производитель, компания Fortinet, уже подтвердил наличие уязвимости и выпустил соответствующие патчи. Согласно официальному бюллетеню безопасности (FG-IR-25-093), проблема была устранена. Следовательно, основная и настоятельно рекомендуемая мера для всех пользователей - немедленное обновление уязвимых версий FortiSandbox до исправленных релизов. В текущих геополитических условиях важно получать обновления только из доверенных источников, предварительно оценив все сопутствующие риски.
Если немедленное обновление невозможно, эксперты предлагают ряд компенсирующих мер для снижения риска. Во-первых, следует ограничить сетевой доступ к веб-интерфейсу FortiSandbox, разрешив его только из доверенных внутренних сетей и полностью заблокировав из интернета. Во-вторых, рекомендуется использовать средства защиты веб-приложений (WAF) для фильтрации входящего трафика. Кроме того, эффективными мерами могут стать развертывание систем обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга аномальной активности, а также организация доступа к интерфейсу исключительно через защищенные каналы, такие как виртуальные частные сети (VPN).
Обнаружение подобной уязвимости в продукте класса "песочница" (sandbox) вызывает особую озабоченность у специалистов. Подобные системы предназначены для анализа подозрительных файлов и активности в изолированной среде. В случае их компрометации злоумышленники могут не только получить точку опоры в сети, но и подорвать доверие к основному механизму обнаружения угроз. Атакующий может потенциально манипулировать результатами анализа или использовать уязвимость для получения устойчивости (persistence) в системе.
На момент публикации новости информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Однако учитывая ее критический характер и широкое распространение продуктов Fortinet в корпоративном секторе, можно ожидать, что злоумышленники будут активно пытаться разработать методы эксплуатации. Поэтому задержка с установкой обновлений недопустима.
Инцидент служит напоминанием о важности комплексного подхода к безопасности. Даже специализированные системы защиты требуют своевременного патчинга и правильной конфигурации. Регулярное обновление программного обеспечения, сегментация сети и многоуровневая защита остаются ключевыми принципами противодействия современным киберугрозам. Администраторам также рекомендуется тщательно проверять журналы событий и панели управления своих систем безопасности на предмет любых подозрительных действий, направленных на устройства FortiSandbox.
Ссылки
- https://bdu.fstec.ru/vul/2026-01725
- https://www.cve.org/CVERecord?id=CVE-2025-52436
- https://fortiguard.fortinet.com/psirt/FG-IR-25-093
