FortiSandboxの重大な欠陥を攻撃者が標的に、CISAがパッチ適用を命令

セキュリティ

コマンドインジェクションの脆弱性が悪用リストに追加、研究者が攻撃の兆候を確認

Fortinet製品の管理者にとって、予定を空けるべき理由がさらに2つ増えました。CISAが、FortiSandboxの重大な脆弱性2件が実際に悪用されていることを確認したためです。

CVE-2026-39808CVE-2026-25089として追跡されているこれら2件の脆弱性は、いずれもCVSSスコアが9.1で、FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSに影響します。Fortinetによると、これらはOSコマンドインジェクションの欠陥であり、認証されていない攻撃者が特別に細工したHTTPリクエストを介して任意のコマンドを実行できるというもので、有効な認証情報もユーザーの操作も必要としません。

Fortinetは、CVE-2026-39808については4月に、CVE-2026-25089については6月に修正版をリリースしており、当時公開したアドバイザリでは、悪用に成功すると複雑度の低い攻撃を通じてリモートコード実行につながる可能性があると警告していました。

Fortinetはこれまでのところ、いずれの欠陥についても実際に悪用されていることを公式には確認していませんが、CISAは両方の脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しました。カタログに登録されるということは、CISAが当該脆弱性の実際の悪用を裏付ける証拠を得ていることを意味しますが、同機関が攻撃の実行者を特定したり、被害の広がりを公表したりすることはめったにありません。

連邦民間機関にとって、KEVへの登録は宿題が課されることを意味します。拘束力のある運用指令(Binding Operational Directive)26-04では、CISAが定める期限内にパッチを適用するか、十分なセキュリティ対策を講じられない場合は脆弱な製品の運用を停止することが義務付けられています。

Fortinetはいずれのアドバイザリについても悪用済みである旨の更新を行っておらず、The Registerの質問にも回答していません。

これらの脆弱性への攻撃を報告しているのはCISAだけではありません。セキュリティ企業のDefusedは、今週これら2件の脆弱性に加え、FortiSandboxの別の脆弱性であるCVE-2026-39813に対しても悪用の試みを確認したと述べています

ただし、すべてのエクスプロイトが期待通りに機能しているわけではないようです。Defusedは、CVE-2026-25089を狙ったエクスプロイトについて「vibecoded」(AIによる勢い任せのコーディング)であり、おそらく正常に動作しないと指摘し、公開された動作可能なエクスプロイトはまだ確認していないと付け加えています。

CISAは木曜日のKEV更新で、もう一つの新たな懸念事項についても注意を呼びかけました。それはMicrosoftが新たに修正したSharePoint Serverの脆弱性CVE-2026-58644です。

評価値9.8の、この重大なデシリアライゼーションの脆弱性は、サイト所有者権限を持つ認証済み攻撃者が、脆弱なSharePointサーバーに対してリモートで任意のコードを実行することを可能にします。Microsoftは、この脆弱性は比較的少ない労力でインターネット経由でリモートから悪用できると警告しており、早めのパッチ適用が推奨される脆弱性の一つとなっています。®

翻訳元: https://www.theregister.com/security/2026/07/17/attackers-target-critical-fortisandbox-flaws-as-cisa-issues-patch-order/5274287

ソース: theregister.com