Компания Fortinet 9 июня 2026 года выпустила три бюллетеня безопасности, в которых сообщила о нескольких уязвимостях в своих продуктах. Проблемы затронули операционную систему FortiOS, прокси-сервер FortiProxy, изолированную среду FortiSandbox и портал управления FortiPortal. В зависимости от уязвимости атакующий может удалённо выполнить произвольный код, нарушить конфиденциальность данных или получить несанкционированный доступ к системе. Одна из уязвимостей имеет критический уровень опасности по шкале CVSS.
Детали уязвимостей
Наибольшую угрозу представляет уязвимость CVE-2026-25089, зарегистрированная в FortiSandbox. Она связана с некорректной нейтрализацией специальных элементов в командах операционной системы (так называемая инъекция команд ОС). Уязвимость присутствует в FortiSandbox версий с 5.0.0 по 5.0.5, с 4.4.0 по 4.4.8, а также в версиях 4.2.x, в облачной версии FortiSandbox Cloud с 5.0.4 по 5.0.5 и в версии PaaS с 5.0.4 по 5.0.5. Злоумышленнику не требуется проходить аутентификацию - достаточно отправить специально сформированный HTTP-запрос. Результатом может стать выполнение произвольных команд на целевом устройстве с максимальными привилегиями. Оценка CVSS для этой уязвимости составляет 9,1 балла из 10, что соответствует критическому уровню.
Вторая уязвимость, CVE-2025-67862, затрагивает FortiOS и FortiProxy. Она связана с тем, что внутренний ресурс системы оказался доступным для отладки (проблема типа CWE-1244, "Внутренний ресурс, открытый небезопасному уровню доступа отладки"). Уязвимость позволяет аутентифицированному администратору выполнять Lua-скрипты через команды интерфейса командной строки. Хотя для эксплуатации требуются права администратора, успешная атака может привести к полному контролю над устройством - нарушению конфиденциальности, целостности и доступности данных. Уровень опасности - средний (6,0 баллов). Затронуты FortiOS версий с 7.6.0 по 7.6.2, с 7.4.0 по 7.4.7, с 7.2.0 по 7.2.10, с 7.0.0 по 7.0.16, а также все версии линейки 6.4. Для FortiProxy уязвимы версии с 7.6.0 по 7.6.3, с 7.4.0 по 7.4.10, с 7.2.0 по 7.2.14 и все версии 7.0.
Третья уязвимость, CVE-2026-49938, обнаружена в продукте FortiPortal. Она связана с некорректным контролем доступа (CWE-284). Злоумышленник, имеющий минимум прав (например, обычный пользователь портала), может получить несанкционированный доступ к конфиденциальным данным. Уязвимость затрагивает FortiPortal версий с 7.4.0 по 7.4.7, с 7.2.0 по 7.2.8 и все версии 7.0. Оценка CVSS - 6,2 балла (средняя). Важно отметить, что уязвимость эксплуатируется удалённо, не требует специального доступа и может быть использована даже с низким уровнем привилегий.
Все три уязвимости были обнаружены внутренними исследователями Fortinet и зарегистрированы в Национальной базе уязвимостей США (NVD) 9 июня 2026 года. Компания уже выпустила исправления в соответствующих бюллетенях FG-IR-26-140, FG-IR-26-141 и FG-IR-26-143.
Как указано в бюллетене Fortinet FG-IR-26-140, "уязвимость позволяет неаутентифицированному атакующему выполнить произвольные команды через специально сформированные HTTP-запросы". Это говорит о том, что для критической уязвимости в FortiSandbox не требуется предварительного доступа к системе.
Сейчас организации, использующие продукты Fortinet, должны оценить, какие версии установлены на их устройствах. Для FortiOS необходимо обновиться до версий 7.2.11, 7.4.8 или 7.6.3 - в зависимости от используемой ветки. Для FortiProxy актуальны версии 7.2.15, 7.4.11 и 7.6.4. FortiSandbox следует обновить до версии 4.4.9 или 5.0.6, а облачные и PaaS-варианты - до версии 5.0.6. FortiPortal требует версий 7.2.9 или 7.4.8.
Эксплуатация любой из этих уязвимостей способна привести к полной компрометации системы. Критическая уязвимость в FortiSandbox особенно опасна, так как она не требует аутентификации и может быть использована удалённо. Если устройство с FortiSandbox доступно из интернета, атакующий может получить контроль над ним, а затем - через него атаковать другие системы внутри сети. Остальные уязвимости, хотя и требуют прав администратора или уже аутентифицированного пользователя, также представляют серьёзную угрозу, особенно в средах, где административные учётные записи могут быть скомпрометированы.
Организациям рекомендуется как можно быстрее установить обновления, выпущенные 9 июня 2026 года. Задержка с исправлением повышает риск того, что злоумышленники успеют воспользоваться уязвимостями до того, как системы будут обновлены. Помимо установки патчей, стоит провести аудит текущих конфигураций, временно ограничить доступ к панелям управления и FortiSandbox из внешних сетей, если это возможно. Однако основная мера защиты - своевременное обновление.
Таким образом, пакет исправлений от Fortinet закрывает три уязвимости разной степени опасности, которые в совокупности затрагивают практически всю линейку продуктов компании. Наличие критической уязвимости, не требующей аутентификации, делает обновление обязательным для всех организаций, использующих FortiSandbox в той или иной форме. Остальные продукты также требуют внимания, поскольку их уязвимости могут быть использованы в многоэтапных атаках.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-67862
- https://www.cve.org/CVERecord?id=CVE-2026-25089
- https://www.cve.org/CVERecord?id=CVE-2026-49938
- https://www.fortiguard.com/psirt/FG-IR-26-140
- https://www.fortiguard.com/psirt/FG-IR-26-141
- https://www.fortiguard.com/psirt/FG-IR-26-143
