脅威アクターが過去24時間以内に、Fortinet FortiSandboxの複数の深刻な脆弱性を積極的に悪用し始めました。その中にはCVE-2026-39813も含まれており、この脆弱性はこれまで実環境での悪用が一切記録されていなかったものです。
ハニーポットの活動を監視しているセキュリティ研究者らが、IPアドレス141.11.43.175(ASN AS136510に帰属)からの攻撃試行を検出しました。攻撃者はポート443経由で細工したJSONRPC POSTリクエストを使い、おとり用のFortiSandboxインフラを標的にしています。
今回の積極的な攻撃クラスターでは、3つのCVEが悪用されています。CVE-2026-39813(CVSS 9.8:緊急)は、FortiSandboxのJRPC APIに存在するパストラバーサル(../filedir)の脆弱性で、バージョン5.0.0〜5.0.5および4.4.0〜4.4.8が影響を受けます。
この脆弱性を悪用すると、特別に細工されたHTTPリクエストを通じて、認証なしで権限昇格や認証バイパスが可能になります。
CVE-2026-39808(CVSS 9.8:緊急)は、jid GETパラメータを通じて悪用可能なOSコマンドインジェクションの脆弱性です。認証のない攻撃者が、影響を受けるシステム上でrootとして任意のコマンドを実行できます。
このCVEに関するパブリックな概念実証(PoC)およびNuclei検出テンプレートは、2026年4月から公開されています。
CVE-2026-25089は、内部的に「vibecoded」エクスプロイトと表現されており、AIによって生成されたか急ごしらえで組み立てられた可能性が高いとされています。信頼性の高いパブリックなエクスプロイトは確認されておらず、このCVEに関する攻撃試行はコード実行の結果が一貫しない欠陥のあるものと評価されています。
確認された攻撃チェーンでは、標準的なブラウザのUser-Agentなりすまし(Windows NT 10.0 x64上のChrome 149)を使用し、HTTP攻撃トラフィックを正規のWebリクエストに見せかけています。
攻撃者のインフラには脅威スコア1.6の「High Interest」フラグが立てられており、自動スキャンキャンペーンへの利用で知られるシンガポール拠点のホスティングプロバイダーを起点としています。
CVE-2026-39813とCVE-2026-39808はいずれも、認証・事前アクセス・ユーザー操作が一切不要なため、インターネットに公開されているFortiSandboxの管理インターフェースに対して容易に武器化できます。
Fortinetはこれらの脆弱性に対するパッチを2026年4月にリリースしました。下表に影響を受けるバージョン範囲と推奨される修正方法をまとめています。
FortiSandboxを運用している組織は、直ちにバージョン4.4.9または5.0.6にアップグレードし、管理インターフェースがインターネットに公開されていないことを確認してください。
セキュリティチームは、予期しない送信元IPから/jsonrpc/エンドポイントへの異常なJSONRPC POSTリクエストをログで監視するとともに、FortiSandboxホストを起点とするラテラルムーブメントの脅威ハンティングを実施してください。
また、正当なビジネス上の必要性がない場合は、ASN AS136510および関連するIPレンジをブロックすることも推奨されます。
翻訳元: https://cyberpress.org/critical-fortinet-fortisandbox-vulnerabilities/