CISA、Fortinet FortiSandboxの2件の脆弱性についてコマンド実行に悪用されていると警告

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Fortinet FortiSandboxに存在する2件の重大な脆弱性を、既知の悪用された脆弱性(KEV)カタログに追加しました。

これらの脆弱性は現在実際に悪用されており、影響を受けるシステム上で不正なコマンドを実行するために利用されています。CVE-2026-39808およびCVE-2026-25089として追跡されているこれらの脆弱性は、OSコマンドインジェクションの弱点(CWE-78)に関わるもので、FortiSandbox Cloudおよび FortiSandbox PaaS環境を含むFortiSandboxの展開に影響を及ぼします。

ゼロデイ攻撃検知

CISA、Fortinet FortiSandboxの2件の脆弱性について警告

CISAによるとCVE-2026-39808はFortiSandboxアプライアンスに影響を及ぼします。この脆弱性により、認証されていない攻撃者が特別に細工したHTTPリクエストを通じて、任意のOSレベルのコマンドを実行できてしまいます。

この脆弱性は、リクエスト処理機構における入力検証の不備に起因しており、攻撃者は基盤となるオペレーティングシステム内で実行される悪意のあるコマンドを注入できます。

その結果、攻撃者はシステムを完全に掌握したり、不正なデータアクセスを行ったり、企業環境内で横展開したりする可能性があります。重要な点として、この脆弱性は認証を必要としないため、悪用のハードルが大幅に下がり、インターネットに公開された環境ではリスクが一層高まります。

2件目の脆弱性であるCVE-2026-25089は、FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSを含む、より広範なFortinet製品群において同様のリスクをもたらします。

CVE-2026-39808と同様に、この脆弱性も細工されたHTTPリクエストを通じて認証なしのコマンド実行を可能にします。これは、複数のFortinetサンドボックス製品にまたがってユーザー入力の処理に構造的な問題が存在することを示しています。

FortiSandboxが疑わしいファイルの解析や高度な脅威の検知において果たす役割を踏まえると、これらの脆弱性が悪用された場合、攻撃者が解析結果を改ざんしたり、保護機能を無効化したり、サンドボックス環境をさらなる攻撃の足がかりとして利用したりする恐れがあります。

CISAはこれらの脆弱性がランサムウェアキャンペーンに利用されているかどうかについては確認していませんが、KEVカタログへの追加は、実際のシナリオにおいて能動的に悪用されていることを裏付けています。

セキュリティ研究者らは、セキュリティアプライアンスにおけるコマンドインジェクションの脆弱性は特に危険だと指摘しています。こうした脆弱性は多くの場合、高い権限へのアクセスを許してしまい、しかも通常はネットワークインフラの重要な地点に配置されているためです。攻撃者はこれらの脆弱性を悪用することで、マルウェア解析のワークフローを深く可視化できたり、脅威インテリジェンスの出力を操作できたりする可能性があります。

CISAは、リスクエクスポージャーに基づいて迅速なパッチ適用を優先する拘束力のある運用指令(BOD)26-04に従い、連邦政府機関に対して2026年7月19日までにこれらの脆弱性を修正するよう義務付けています。

各組織は、ベンダーが提供する緩和策を直ちに適用し、影響を受ける資産のインターネット露出状況を評価し、侵害の可能性を検知するためにCISAのフォレンジックトリアージ要件に従うことが強く求められています。パッチや緩和策が利用できない場合、CISAはリスクを低減するために該当製品の使用を中止することを推奨しています。

セキュリティチームはまた、異常なHTTPリクエストのパターン、予期しないコマンド実行ログ、FortiSandboxの解析出力における異常など、侵害の兆候についても監視すべきです。

これらの攻撃が認証を必要としない性質を持つことを踏まえると、露出を最小限に抑えるためには、積極的なネットワーク監視と厳格なアクセス制御が不可欠です。

脅威アクターがセキュリティインフラを標的にし続ける中、今回のFortinetの脆弱性が急速に悪用されている事実は、セキュリティツール全体のエコシステムにおいて、継続的なパッチ管理と堅牢な防御的可視性の確保が必要であることを改めて浮き彫りにしています。

コンプライアンス管理ツール

 脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをあなたのSOCと統合する 今すぐ

翻訳元: https://gbhackers.com/cisa-warns-of-two-fortinet-fortisandbox-flaws/

ソース: gbhackers.com