研究者らの報告によると、攻撃者がFortiSandboxに存在する重大な脆弱性2件を積極的に悪用していることが確認されました。FortiSandboxは、ネットワーク上の新たな脅威を識別・防御するために企業が活用するセキュリティ製品です。
Fortinetは、CVE-2026-39808およびCVE-2026-39813の2件の脆弱性を4月に公表・修正しましたが、悪用の事実については現時点で確認していません。同社はコメント要請にも応答しませんでした。
VulnCheckは、OSコマンドインジェクション脆弱性であるCVE-2026-39808の悪用を6月9日に初めて観測したと述べています。脅威インテリジェンス企業Defusedの研究者も6月11日に同脆弱性の悪用を確認し、さらに6月15日にはパストラバーサル脆弱性であるCVE-2026-39813の悪用も観測しました。
Defusedの創業者兼CEOであるSimo Kohonen氏によると、6日間にわたって11の異なるIPアドレスから2件の脆弱性に対する攻撃イベントが計49件観測されたとのことです。また、Fortinetが6月9日に公表・修正した第3のFortiSandbox脆弱性CVE-2026-25089についても、攻撃者が悪用を試みていると同氏は付け加えました。
Fortinet製品を利用する顧客のうち直接被害を受けた件数はまだ判明していませんが、Kohonen氏は、現時点で観測されている侵害後の活動——確認作業や偵察行為——は、より本格的な攻撃の波が来る前段階であることが多いと指摘しています。
Defusedの追跡によると、今回の悪意ある活動は、中国・韓国・台湾・インド・シンガポール・ドイツ・オランダ・カナダ・ブルガリアの計9カ国を発信元とする13の送信元に遡ることができます。
「攻撃の広がりや概念実証コードの共有状況からすると、単一のキャンペーンではなく、汎用インフラを使う複数の独立した攻撃者が関与していると見られます」と、Kohonen氏はCyberScoopに語っています。
研究者らは、攻撃者が2件の脆弱性を連鎖させている証拠はまだ確認していないものの、これらのエクスプロイトが互いに機能し合い、認証回避・権限昇格・任意コマンド実行を可能にしていると述べています。
複数の調査会社がハニーポットで観測したこれらのエクスプロイトは、Fortinet製品を狙った潜在的な大規模攻撃の幕開けを示しています。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2021年以降、悪用が確認された脆弱性カタログにFortinetの脆弱性を26件登録しています。なお水曜日時点では、今回の新たなFortinet脆弱性はカタログに追加されていません。
研究者らは、今回の脆弱性がエンタープライズのセキュリティアーキテクチャにおいて重要な機器に影響を与えると警告しています。
「サンドボックスアプライアンスは、不審なコンテンツを解析し、より広範な検知ワークフローを支える信頼された機器として位置づけられているのが通常です。そのため、侵害が発生した場合、攻撃者はセキュリティ上の機密性が高い環境内で高度なアクセス権を得る可能性があります」と、JupiterOneのセキュリティ・コンプライアンス責任者であるChris Doyle氏はメールでコメントしています。
Kohonen氏もこう述べています。「FortiSandboxは、他のFortinet製品からのデータを取り込み、それらと接続しているため、攻撃者にとって高価値なターゲットとなっています。」
翻訳元: https://cyberscoop.com/fortinet-fortisandbox-vulnerabilities-exploits/
