В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в системе анализа угроз FortiSandbox от компании Fortinet. Уязвимость, получившая идентификаторы BDU:2026-05445 и CVE-2026-39808, позволяет удаленному злоумышленнику выполнить произвольный код на устройстве, что потенциально ведет к полному контролю над системой безопасности. Согласно оценкам CVSS, степень опасности достигает максимального уровня - 10 баллов по версии 2.0 и 9.8 баллов по версии 3.1.
Детали уязвимости
Проблема затрагивает версии FortiSandbox с 4.4.0 по 4.4.8 включительно. Технически уязвимость классифицируется как "Внедрение в команду операционной системы" (CWE-78). Она связана с недостаточной обработкой специальных элементов, в частности символа «|», в параметре "jid" интерфейса JRPC. Следовательно, отправка специально сформированного GET-запроса может привести к исполнению произвольных команд операционной системы с привилегиями службы FortiSandbox.
Уязвимость представляет особую опасность, поскольку FortiSandbox является ключевым компонентом для анализа подозрительных файлов и выявления угроз. Его компрометация может подорвать всю стратегию безопасности организации. Более того, согласно BDU, эксплойт для эксплуатации этой уязвимости уже существует в открытом доступе, что значительно повышает актуальность угрозы. В частности, ссылка на техническую демонстрацию опубликована на платформе GitHub.
Производитель, компания Fortinet, подтвердил наличие уязвимости и выпустил исправления. В своем бюллетене безопасности (FG-IR-26-100) компания рекомендует пользователям немедленно обновить FortiSandbox до версии, в которой проблема устранена. Однако в условиях текущих международных санкций российским организациям рекомендуется проводить дополнительную оценку рисков перед установкой любых обновлений из иностранных источников.
Помимо основного способа устранения, существуют компенсирующие меры для снижения риска до момента обновления. Во-первых, специалисты рекомендуют ограничить сетевой доступ к интерфейсам управления FortiSandbox, используя политики "белых списков". Идеально полностью исключить доступ к этим интерфейсам из интернета. Во-вторых, развертывание межсетевого экрана уровня веб-приложений (WAF) может помочь в фильтрации вредоносных запросов, содержащих инъекции команд.
Кроме того, мониторинг событий безопасности с помощью SIEM-систем может помочь в своевременном обнаружении аномальной активности. В частности, следует обращать внимание на подозрительные GET-запросы к JRPC API. Важно понимать, что эти меры носят временный характер и не заменяют установку официального патча.
Данный инцидент подчеркивает важность комплексного подхода к защите даже специализированных систем безопасности. Атаки на цепочки поставок и инфраструктуру защиты, такие как SOC, становятся все более распространенной тактикой современных APT-групп. Компрометация инструмента вроде песочницы (sandbox) позволяет злоумышленникам скрыть свой вредоносный код (malicious payload) от обнаружения и обеспечить его устойчивость (persistence) в сети.
Таким образом, организациям, использующим уязвимые версии FortiSandbox, необходимо безотлагательно принять меры. Приоритетом должно стать применение обновления после тщательного анализа. Параллельно следует внедрить компенсирующие контрмеры и усилить мониторинг соответствующего сетевого трафика. Регулярный аудит и своевременное обновление всех компонентов инфраструктуры безопасности остаются ключевыми практиками для противодействия подобным критическим угрозам.
Ссылки
- https://bdu.fstec.ru/vul/2026-05445
- https://www.cve.org/CVERecord?id=CVE-2026-39808
- https://fortiguard.fortinet.com/psirt/FG-IR-26-100
- https://github.com/samu-delucas/CVE-2026-39808
