Fortinetのマルウェア解析・検出製品FortiSandboxに影響する2件の脆弱性が、実際の攻撃で悪用されていることが分かりました。米サイバーセキュリティ・インフラセキュリティ庁(CISA)が警告しています。
これらの脆弱性はCVE-2026-39808およびCVE-2026-25089として追跡されており、いずれも深刻度(CVSS)スコア9.1の重大な脆弱性です。
CISAは7月16日、両脆弱性を既知の悪用された脆弱性(KEV)カタログに追加しました。これは実際の悪用が観測された証拠があることを示しています。
同庁は連邦政府機関に対し、7月19日までにパッチを展開するよう求めています。
FortiSandboxの脆弱性悪用で不正コマンド実行の恐れ
CVE-2026-39808は、KPMGスペインのセキュリティ研究者Samuel de Lucas Maroto氏によって発見され、Fortinetが4月14日に公表しました。
これはFortinetのFortiSandboxバージョン4.4.0から4.4.8に影響するOSコマンドインジェクションの脆弱性です。
悪用されると、攻撃者は許可されていないコードやコマンドを実行できてしまいます。
Fortinetは、FortiSandboxバージョン4.4.9でパッチをリリース済みです。
2件目の脆弱性CVE-2026-25089は、Fortinet Product Securityチームのセキュリティ研究者Adham El Karn氏が当初発見したもので、同社が6月9日に公表しました。
これはFortinetのFortiSandboxバージョン5.0.0から5.0.5、4.4.0から4.4.8、および4.2系全バージョン、FortiSandbox Cloudバージョン5.0.4から5.0.5、FortiSandbox PaaSバージョン5.0.4から5.0.5に影響するOSコマンドインジェクションの脆弱性です。
悪用されると、認証されていない攻撃者が特別に細工されたHTTPリクエストを通じて許可されていないコマンドを実行できてしまいます。
Fortinetは、FortiSandboxバージョン4.4.9および5.0.6でパッチをリリース済みです。
CISAは米連邦政府機関に対し、Fortinetがリリースした緩和策とパッチを適用するよう義務付けました。
クラウドベースのサービスについては、緩和策が利用できない場合、当該製品の使用を中止するよう求めています。
CISAは、これらの脆弱性がランサムウェア攻撃で使用されたかどうかについては確認していません。
画像提供: Piotr Swat / bluestork / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cisa-urgent-patch-fortinet/