セキュリティ
すべてにパッチが提供済み。早急に修正バージョンへのアップグレードを
脅威インテリジェンス企業のDefusedによると、Fortinetのサンドボックスにおけるクリティカルな脆弱性3件が現在活発に悪用されています。これらの脆弱性は、リモートの攻撃者による認証バイパス、権限昇格、悪意あるコードの実行を可能にするものです。
Fortinetは3件のうち2件、CVE-2026-39813およびCVE-2026-39808を4月にパッチで修正し、3件目のCVE-2026-25089は先週修正しました。3件いずれもCVSSスコアは9.1で、パッチ公開時点ではベンダーから積極的な悪用の報告はないとされていました。
CVE-2026-39813は、FortiSandbox JRPC APIにおけるパストラバーサルの脆弱性で、細工されたHTTPリクエストを使用することで認証をバイパスできます。FortiSandbox 4.4.0〜4.4.8および5.0.0〜5.0.5が影響を受けます。修正にはブランチに応じて4.4.9以降または5.0.6以降へのアップグレードが必要です。この脆弱性はFortinet社セキュリティアナリストのLoic Pantano氏が発見しました。
CVE-2026-39808は、FortiSandboxにおけるOSコマンドインジェクションの脆弱性で、未認証の攻撃者がHTTPリクエストを通じて不正なコードやコマンドを実行できます。バージョン4.4.0〜4.4.8が影響を受け、FortiSandbox 4.4.9以降へのアップグレードにより修正されます。この脆弱性の発見・報告はKPMGスペインの研究者Samuel de Lucas Maroto氏によるものです。
最後に、CVE-2026-25089は、FortiSandbox、FortiSandbox Cloud、およびFortiSandbox PaaS WEB UIにおける別のOSコマンド脆弱性で、未認証の攻撃者が細工されたHTTPリクエストを使用して不正なコマンドを実行できます。FortiSandbox 4.4.0〜4.4.8および5.0.0〜5.0.5、FortiSandbox Cloud 5.0.4〜5.0.5、FortiSandbox PaaS 5.0.4〜5.0.5が影響を受けます。修正バージョンへのアップグレードで対処できます。
Fortinetは、これら3件のCVEに関する本誌(The Register)の問い合わせ、および攻撃の観測有無についての確認に対して回答しませんでした。
Defusedによると、悪用は週末から始まったとのことです。
「過去24時間にわたり、Fortinet FortiSandboxの複数の脆弱性が悪用されていることを観測しています」と、同社は月曜日のLinkedInへの投稿で述べています。
「当社の調査によると、CVE-2026-25089の有効な悪用コードはまだ公開されていません」と同社は付け加え、この脆弱性の悪用コードは「バイブコーディング」で作成されたとみられ、不完全な可能性があると指摘しています。
あらゆる種類の攻撃者がFortinetの脆弱性を悪用することは周知の事実です。まだ対応していない場合は、今すぐパッチを適用してください。
今月初め、Check Pointの研究担当バイスプレジデントLotem Finkelstein氏は、ランサムウェア犯罪者がFortinetのリモートアクセスVPNおよびモバイルアクセス環境に影響するクリティカルな認証バイパス脆弱性を悪用したと警告しました。また、同グループがFortinet製品の他のVPN関連脆弱性も悪用している可能性が高いと述べています。 ®
