Fortinetは、FortiSandbox製品に重大な脆弱性が存在することを公表しました。認証なしに攻撃者が不正なコマンドを実行できる可能性があり、マルウェア解析にサンドボックスを活用する企業にとって深刻な懸念事項となっています。
CVE-2026-25089として追跡されているこの脆弱性は、OSコマンドインジェクション脆弱性(CWE-78)に分類されます。CVSS v3スコアは9.1で、深刻度は「高」と評価されています。この問題は、FortiSandboxのWebベース管理インターフェース内のOSコマンドにおける特殊要素の不適切な無効化に起因しています。
Fortinet FortiSandbox の脆弱性詳細
この脆弱性は特に、GUIの「VNC起動」機能に影響します。細工されたJSON入力が、セカンドオーダーコマンドインジェクションを引き起こす可能性があります。この種の攻撃では、悪意のある入力がまず保存または処理され、後に別のコンテキストで実行されるため、検出がより困難になります。
認証されていない攻撃者でも、影響を受けるインターフェースに細工されたHTTPリクエストを送信することで、この脆弱性を悪用できます。認証が不要なため、特にインターネットに公開されているシステムでは攻撃対象領域が大幅に広がります。
悪用に成功した攻撃者は、基盤システム上で任意のコマンドを実行できるようになります。これにより、システムの完全な侵害、データの持ち出し、またはネットワーク内でのラテラルムーブメントにつながる恐れがあります。
影響を受けるバージョン
以下のバージョンが本脆弱性の影響を受けます。
- FortiSandbox 5.0.0 〜 5.0.5
- FortiSandbox 4.4.0 〜 4.4.8
- FortiSandbox Cloud 5.0.4 〜 5.0.5
- FortiSandbox PaaS 5.0.4 〜 5.0.5
FortiSandbox 5.2、FortiSandbox Cloud 5.2、FortiSandbox PaaS 23.4 は影響を受けません。
パッチと緩和策
Fortinetは本脆弱性に対処するパッチをリリースしており、以下のバージョンへのアップグレードを強く推奨しています。
- FortiSandbox 5.0.6 以降
- FortiSandbox 4.4.9 以降
- FortiSandbox Cloud 5.0.6 以降
- FortiSandbox PaaS 5.0.6 以降
現時点では、実際の悪用事例は報告されていません。ただし、深刻な重要度と悪用の容易さを考慮し、各組織は直ちにアップデートを適用することが推奨されます。
緩和策として、管理者はFortiSandbox管理インターフェースへのアクセスを制限し、パブリックインターネットへの公開を避けるとともに、GUIを標的とした不審なHTTPリクエストのログを監視することが求められます。
この脆弱性は、FortinetのProduct Security Incident Response Team(PSIRT)のAdham El Karnによって内部で発見・報告されました。2026年6月9日に、アドバイザリID FG-IR-26-141として公開されています。
サンドボックス環境は高リスクなファイルを扱うことが多く、企業ネットワークへの初期アクセスや権限昇格を狙う攻撃者にとって格好の標的となり得ます。セキュリティチームはパッチ適用を最優先事項とし、サンドボックス環境の公開状況を早急に見直すことが求められます。
翻訳元: https://gbhackers.com/fortinet-fortisandbox-vulnerability-2/
