脅威インテリジェンス企業Defusedによると、Fortinetのサイバー脅威検知プラットフォーム「FortiSandbox」に存在する複数の重大な脆弱性が、現在実際の攻撃に悪用されています。
Fortinetは4月14日、深刻度「Critical」(重大)に分類される3件の脆弱性(CVE-2026-39813、CVE-2026-39808、CVE-2026-25089)に対するセキュリティアップデートをリリースしました。
これらの脆弱性を悪用すると、未認証の攻撃者がユーザーの操作を必要とせず、低い複雑性のコマンドインジェクション攻撃によって権限昇格やリモートでの不正コード実行が可能になります。攻撃をブロックするためには、管理者は影響を受けるシステムを最新バージョンにアップグレードする必要があります。
Defusedは月曜日に「過去24時間以内に複数のFortinet FortiSandbox脆弱性の悪用を確認した。対象はCVE-2026-39813(過去に悪用記録なし)、CVE-2026-39808、CVE-2026-25089(『バイブコーディング』によるもので、エクスプロイトに不備がある可能性)が含まれる」と警告しました。また「調査の結果、CVE-2026-25089に対する実用的なエクスプロイトはまだ公開されていない」とも述べています。
4月、Fortinetは中程度の深刻度を持つパストラバーサル脆弱性(CVE-2025-61624)が実際の攻撃で悪用されていると警告しました。この脆弱性は認証済みの攻撃者による権限昇格を可能にするものですが、悪用には対象システムへの高い権限が必要なため、他のセキュリティ上の問題と組み合わせて利用された可能性が高いとみられています。
BleepingComputerは積極的な悪用に関する報告の確認をFortinetに求めましたが、現時点では回答は得られていません。
Fortinetの脆弱性は、ランサムウェア攻撃(ゼロデイ脆弱性として悪用されるケースが多い)や、ターゲットのネットワークへの侵入を目的としたサイバースパイ活動で頻繁に悪用されています。
直近では、Fortinetがパッチ未適用のシステムでリモートコード実行を可能にするFortiSandboxの別の重大な脆弱性(CVE-2026-26083)に対するセキュリティアップデートをリリースしています。
2月には、FortiClient Enterprise Management Server(EMS)プラットフォームの重大なSQLインジェクション脆弱性(CVE-2026-21643)も修正されました。Defusedはその1か月後にこの脆弱性が積極的に悪用されていると警告し、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は4月13日、連邦機関に対して3日以内にCVE-2026-21643を標的とした攻撃からFortiClient EMSを保護するよう命じました。
CISAが把握しているFortinetの脆弱性のうち、近年の攻撃で実際に悪用されたものは計26件にのぼり、そのうち13件はランサムウェアグループによって悪用されています。
攻撃者より先に、あらゆる防御層をテストする
セキュリティチームが実際の攻撃を把握できるのは54%にとどまり、アラートが発生するのはわずか14%です。残りの脅威は検知されることなく、環境内を自由に動き回っています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRルールを検証し、脅威の検知漏れを防ぐ方法を解説しています。
