米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月16日、Fortinet FortiSandboxの脆弱性2件を既知の悪用済み脆弱性(KEV)カタログに追加し、両脆弱性が実際に悪用されていることを確認しました。
CVE-2026-39808およびCVE-2026-25089として追跡されているこれら2件の脆弱性は、いずれもOSコマンドインジェクション(CWE-78)という共通の根本原因を持っています。
このクラスの脆弱性は、アプリケーションがシステムレベルのコマンドにユーザー入力を渡す際に適切なサニタイズを行わない場合に発生し、攻撃者が任意のOSコマンドを注入・実行できるようになります。
CVE-2026-39808はFortinet FortiSandboxに影響を及ぼし、未認証の攻撃者が特別に細工したHTTPリクエストをアプライアンスに送信することで、不正なコードやコマンドを実行できてしまいます。
認証を必要としないという点は悪用のハードルを大きく下げるものであり、脆弱なインスタンスにネットワーク経由でアクセスできる攻撃者であれば誰でも侵害できる可能性があることを意味します。
CVE-2026-25089はより広範囲に影響し、オンプレミス版のFortiSandboxアプライアンスだけでなく、FortiSandbox CloudおよびFortiSandbox PaaS環境にも及びます。
こちらの脆弱性も、悪意を持って細工されたHTTPリクエストにより未認証でのコマンド実行を許してしまう点で共通しており、Fortinetのクラウドホスト型サンドボックスサービスを利用する組織にとって攻撃対象領域が広がることになります。
FortiSandboxは、疑わしいファイルやネットワークトラフィックを検査するために金融、医療、重要インフラなど各分野の組織で広く導入されている、マルウェア解析・脅威検知のための重要なツールです。
このシステムが侵害された場合、攻撃者は組織のセキュリティ監視インフラの奥深くに足がかりを得ることになり、検知能力を損ないながら組織内での横展開を可能にしてしまう恐れがあります。
CISAは、いずれの脆弱性もランサムウェアキャンペーンで利用されたかどうかについては現時点で確認しておらず、両エントリのステータスを「不明」としています。しかし、CISA KEVカタログへの掲載自体が、ランサムウェアとの関連の有無にかかわらず、悪用が確認されていることを示すものです。
リスクに基づくセキュリティアップデートの優先順位付けを定める拘束力のある運用指令(BOD)26-04に基づき、連邦政府の文民機関は7月19日の期限までにベンダーが提供するパッチまたは緩和策を適用する必要があります。
CISAはまた、侵害の可能性があるシステムを評価する際には、修復作業の前に適切な証拠保全を確実に行うため、フォレンジック・トリアージ要件を参照するよう組織に指示しています。
BOD 26-04が法的拘束力を持つのは連邦政府機関のみですが、CISAは業種を問わず、FortiSandboxを運用しているすべての組織に対し、自社の露出状況を評価し直ちにパッチを適用するよう強く求めています。
両脆弱性とも未認証で悪用可能という性質上、インターネットに公開されているFortiSandboxインスタンスが最も高いリスクにさらされており、早急なパッチ適用またはネットワークからの隔離を最優先で行うべきです。
より強固な予防的防御で重大インシデントと金銭的損失を防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合する
翻訳元: https://cyberpress.org/cisa-fortinet-fortisandbox-flaws-exploited/