最近ゼロデイおよびn-dayエクスプロイトの対象となった同社は、FortiOSおよびFortiAPの欠陥に対する3つのパッチもリリースしました。
Fortinetは、パッチチューズデイに製品全体にパッチをリリースしました。これには、リモートコード実行につながる可能性のある2つの重大な脆弱性が含まれています。Fortinet脆弱性は、ゼロデイとn-dayの両方で過去に何度も実際に悪用されているため、企業はできるだけ早くパッチをデプロイする必要があります。
「Fortinet脆弱性は、これらの製品が脅威アクターが標的にすることが多い高信頼セキュリティ機能に位置しているため、脅威アクターにとって魅力的です」と、SecOps企業Tuskiraのエグゼクティブ最高責任者兼共同創設者であるPiyush SharmaはメールでCSOに述べました。「脆弱性が既に特権的な可視性を持つツールか重要なシステムに近い位置にあるツールに影響を与える場合、悪用により、通常のアプリケーションの欠陥よりもはるかに大きなアドバンテージを攻撃者に与えることができます。」
FortiAuthenticatorの欠陥はCVE-2026-44277として追跡され、CVSS重大度スコアは9.1で、不適切なアクセス制御の問題として説明されています。成功した悪用により、認証されていない攻撃者は、特別に作成されたリクエストを送信することで、未承認のコードとコマンドを実行できます。
アイデンティティおよびアクセス管理(IAM)ソリューションであるFortiAuthenticatorは、RADIUS、LDAP、およびSAML認証の中央ハブとして機能します。Active Directoryと統合され、シングルサインオンとマルチファクタ認証をサポートしています。この新しい脆弱性にパッチを適用するには、企業は使用しているリリースに応じてFortiAuthenticator 6.5.7、6.6.9、または8.0.3にアップグレードすることをお勧めします。
FortiSandboxの欠陥は認可の欠落の問題で、同様に認証されていない攻撃者がHTTPリクエスト経由で任意のコードとコマンドを実行できます。CVE-2026-26083として追跡され、脆弱性の重大度スコアも9.1です。
FortiSandboxは、機械学習を使用して分離された環境内の疑わしいファイルに対して静的および動的分析を実行することで、ゼロデイ脅威を識別するように設計された脅威検出ソリューションです。FortiGateやFortiMailなどの他のFortinet セキュリティ製品と統合され、ハードウェアおよび仮想アプライアンスを含む異なるバリアントで提供されます。
脆弱性は、FortiSandbox、FortiSandbox Cloud、およびFortiSandbox PaaSのサポートされているすべてのバージョンに影響します。ユーザーは、リリースに応じてバージョン4.4.9または5.0.2にアップグレードすることをお勧めします。
CVE-2026-26083とCVE-2026-44277の両方はFortinetによって内部的に発見されたため、現在のところ実際の悪用の証拠はありません。しかし、他のFortinet RCE脆弱性に対するエクスプロイトは、過去に攻撃者によって採用されています。
例えば、CVE-2026-21643はFortiClient Endpoint Management Server(EMS)のSQLインジェクション脆弱性で、Fortinetによって内部的に発見され、2月にパッチが適用されましたが、1ヶ月後に実際の悪用の対象になりました。これは先月、別のFortiClient EMSの欠陥、今回はゼロデイの悪用が後に続きました。
2つの重大な欠陥に加えて、Fortinetは複数の製品の高および中程度の重大度の欠陥に対するパッチをリリースしました:RCEに至るFortiOSのバッファオーバーフロー脆弱性(CVE-2025-53844)、権限昇格につながるFortiAPおよびFortiAP-W2のOSコマンドインジェクション脆弱性(CVE-2025-53870)、およびRCEに至るFortiAP、FortiAP-U、およびFortiAP-W2の別のOSコマンドインジェクションの欠陥(CVE-2025-53680)。
これらの欠陥の悪用には認証が必要です。これが重大と評定されていない理由ですが、攻撃者がエンタープライズ認証情報を侵害することは珍しくないため、依然として緊急に対処する必要があります。
