エクスプロイトインテリジェンス企業Defusedによると、最近パッチが適用されたFortinet FortiSandboxの脆弱性3件が、実際の攻撃で標的にされています。
Defusedのハニーポットでは、CVE-2026-39808、CVE-2026-39813、CVE-2026-25089の悪用を試みる攻撃が観測されています。
CVE-2026-39813とCVE-2026-39808はいずれも「Critical(緊急)」と評価され、4月にパッチが提供されました。前者は攻撃者による認証バイパスを可能にする脆弱性で、後者は任意のコードやコマンドを実行できるOSコマンドインジェクションの欠陥です。
CVE-2026-25089は、Fortinetが2026年6月のPatch Tuesdayアップデートで修正しました。この脆弱性により、リモートの未認証攻撃者が脆弱なアプライアンス上で任意のコマンドを実行できます。
CVE-2026-39808の悪用は、6月12日にKEVIntelによっても独自に観測されています。また、6月15日にはDefusedとKEVIntelの双方が、CVE-2026-39813を狙った攻撃を確認したと報告しています。
DefusedはCVE-2026-25089のエクスプロイトについて、AIを利用して作成されたとみられると指摘しており、同社が最初に確認した時点では機能しなかったとしています。
Defusedはまた最近、CVE-2026-21643とCVE-2026-35616として追跡されているFortinet FortiClient EMSの脆弱性2件の悪用も確認しています。
侵害されたFortinetファイアウォール
一方、SOCRadarは企業ネットワークをハッキングの危険にさらす3万台以上の侵害されたFortinetファイアウォールを検出しています。この一連の攻撃活動は「FortiBleed」と名付けられています。
同社によると、ある脅威アクターがFortinetのファイアウォールとVPNゲートウェイを組織的にハッキングし、アクセスに使用できる認証済み認証情報のデータベースを構築しているとのことです。
侵害されたシステムは190カ国以上の企業・政府機関に属しており、その多くはインドと米国に所在しています。
「攻撃者はインターネット上のFortinetデバイスをスキャンし、精査済みの既知パスワードリストを各デバイスに試して、ログインに成功するたびにその情報を記録します」とSOCRadarは説明しています。「デバイスが侵害されると、攻撃者はそれをリスニングポストとして活用し、通過するトラフィックを監視しながら追加の認証情報を収集します。そうして新たに集めたパスワードは再びスキャナーに投入され、さらに多くのデバイスが侵害されていきます。このシステムは自己増殖する仕組みになっているのです。」
この脅威アクターは自らのサーバーを公開状態のまま放置しており、研究者がそのインフラとターゲットに関するデータを収集することを可能にしています。
「回収されたデータの中には、防衛産業のVPNエンドポイントとみられるシステムの認証情報も含まれており、このグループの野心が純粋な金銭目的にとどまらないことを示唆しています」とSOCRadarは指摘しています。
同社はまだ攻撃を既知の脅威アクターに帰属させるには至っていませんが、ハッカーはロシア語話者である可能性が高いと見ています。
