セキュリティ研究者らは、Fortinet FortiSandbox アプライアンスに存在する複数の重大な脆弱性を狙った積極的な悪用の試みを確認しており、エンタープライズのセキュリティインフラが侵害される可能性について懸念が高まっています。
Defused Cyber が共有した脅威インテリジェンスによると、CVE-2026-39813、CVE-2026-39808、CVE-2026-25089 を含む新たに開示された脆弱性を、攻撃者は過去24時間以内に利用し始めたとされています。
Fortinet FortiSandbox の重大な脆弱性
FortiSandbox は、高度なマルウェアの検出・解析を目的としてエンタープライズ環境で広く利用されており、検出を回避したり内部ネットワークへの侵入を試みる脅威アクターにとって格好の標的となっています。
これらの脆弱性が悪用された場合、攻撃者はサンドボックスの保護機能を回避したり、任意のコードを実行したり、解析結果を改ざんしたりすることが可能になり、組織の防御体制を根本から損なう恐れがあります。
確認された脆弱性の中でも特に注目されるのが CVE-2026-39813 で、今回の観測以前には公開された悪用事例が報告されていませんでした。
このことは、脆弱性が開示後に急速に武器化された可能性、あるいは広く知られる前から標的型攻撃に用いられていた可能性を示唆しています。CVE-2026-39808 についても継続的な悪用の試みが確認されていますが、攻撃ベクターに関する詳細な技術情報は現時点では限られています。
興味深いことに、CVE-2026-25089 は悪用活動で言及されているものの、動作確認済みの公開エクスプロイトは現時点では存在しません。この脆弱性を武器化しようとする初期の試みは信頼性に欠けるか、いわゆる「バイブコーディング」的なものにとどまっており、攻撃者がエクスプロイトの開発を試行錯誤しているか、不完全な概念実証コードを使用している可能性が示唆されます。
このようなばらつきは、攻撃者が実環境で不完全なエクスプロイトを試験的に使用することがあるという、脅威の状況が常に変化し続けている実態を浮き彫りにしています。
FortiSandbox の脆弱性が積極的に悪用されているこの状況は、攻撃者が従来のエンドポイントではなくセキュリティインフラ自体を標的にするという広範なトレンドを改めて裏付けています。脅威を検出するためのツールが侵害されることで、攻撃者はセキュリティ運用上の死角を作り出し、長期にわたって潜伏し続けることが可能になります。
Fortinet FortiSandbox を利用している組織は、公開されているセキュリティアドバイザリを確認し、リリースされたパッチを速やかに適用することを強くお勧めします。
また、防御担当者はネットワークトラフィックとシステムログを継続的に監視し、予期しないアウトバウンド接続や不規則なファイル解析パターンなど、サンドボックスの活動に関連する異常な挙動がないかを確認してください。
脅威インテリジェンスプラットフォームは現在、悪用の試みをリアルタイムで追跡しており、早期検出を支援するためのインジケーターやテレメトリーデータを提供しています。セキュリティチームはさらに、ネットワークセグメンテーションの実装やサンドボックス管理インターフェースへのアクセス制限を検討し、露出リスクを低減することが重要です。
悪用活動が進化し続ける中、セキュリティ研究者は攻撃手法がさらに洗練され、完全に機能するエクスプロイトが公開される可能性があると予測しています。
状況は依然として流動的であり、Fortinet および脅威インテリジェンスプロバイダーからの最新情報を注視しながら、組織として高い警戒態勢を維持することが求められています。
翻訳元: https://gbhackers.com/hackers-exploit-critical-fortinet-fortisandbox-flaws/
