CISAが積極的に悪用されているFortinetの脆弱性への即時対応を要請

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、Fortinetの脅威検知プラットフォームFortiSandboxで積極的に悪用されている2件の脆弱性について、政府機関に対しパッチ適用を優先するよう命じました。

これら2件の緊急度「クリティカル」の脆弱性(CVE-2026-39808およびCVE-2026-25089)は、Fortinetによってそれぞれ4月14日と6月9日に修正されています。

同社が当時公開したセキュリティ勧告で詳述しているとおり、悪用に成功すると、認証されていない脅威アクターがユーザーの操作を必要としない低難度のコマンドインジェクション攻撃を通じて、リモートで不正なコードを実行できるようになります。

これらの問題を解決し、進行中の攻撃を防ぐには、管理者は影響を受けるすべての導入環境を最新のリリース版にアップグレードする必要があります。

Fortinetはこの2件の脆弱性についてまだ「攻撃で悪用されている」というタグ付けをしておらず、実際に悪用されているかどうかに関するBleepingComputerからのメールにもまだ返答していませんが、脅威インテリジェンス企業Defusedは6月16日、攻撃者がすでにこれらを悪用し始めていることを明らかにしました。

「過去24時間で、複数のFortinet FortiSandboxの脆弱性が悪用されているのを確認しています。対象にはCVE-2026-39813(これまで悪用の記録なし)、CVE-2026-39808CVE-2026-25089(vibecoded、おそらく不完全なエクスプロイト)が含まれます」とDefusedは警告しました

木曜日、CISAもこれらの脆弱性が実際に悪用されていることを確認し、自機関の既知の悪用された脆弱性カタログに追加しました。拘束的運用指令(BOD)26-04の規定により、米連邦政府機関は7月19日(日曜日)までに脆弱なFortiSandboxのインスタンスにパッチを適用しなければなりません。

2月にはFortinetは、FortiClient Enterprise Management Server(EMS)プラットフォームの緊急度「クリティカル」のSQLインジェクション脆弱性(CVE-2026-21643)も修正しており、Defusedは1か月後にこの脆弱性が実際に悪用されていると指摘しています。

その2か月後、同社は攻撃で悪用されていた別のセキュリティ問題にも対処しました。認証済みの攻撃者が権限を昇格できるパストラバーサルの脆弱性(CVE-2025-61624)です。

Fortinetの脆弱性は、サイバースパイ活動ランサムウェア攻撃(多くの場合ゼロデイとして)で悪用されることが頻繁にあります。CISAが追跡している、近年攻撃で悪用されたFortinetの脆弱性は合計28件にのぼり、そのうち13件はランサムウェア攻撃でも悪用されています。

攻撃者に先手を打たれる前に、すべてのレイヤーをテストする

セキュリティチームが記録できている攻撃成功件数はわずか54%、アラートを発報できているのはたった14%にすぎません。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/cisa-warns-feds-to-patch-exploited-fortinet-fortisandbox-flaws-by-sunday/

ソース: bleepingcomputer.com