Fortinet社のFortiSandboxの重大なセキュリティ脆弱性について、実証コード(PoC)が公開されました。
CVE-2026-39808として追跡されているこの重大な脆弱性は、認証されていない攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを最高権限レベルで実行することを可能にします。
セキュリティ研究者のSamuel de Lucasは最近GitHubに悪用の詳細を公開し、パッチが適用されていないシステムを攻撃者がいかに簡単に侵害できるかを強調しました。
当初2025年11月に発見されたこの問題は、Fortinet社が2026年4月に勧告FG-IR-26-100の下で公式に詳細を公開する前に、静かにパッチを適用していました。
PoCが自由に利用可能になった今、高度な脅威保護のためにFortiSandboxを利用している組織は、潜在的な侵入から自分たちのネットワークインフラストラクチャを保護するために迅速に行動する必要があります。
脆弱性のメカニズム
CVE-2026-39808は、特定のFortiSandboxウェブエンドポイント内の不適切な入力検証に由来しています。この脆弱性は特にアプリケーションの/fortisandbox/job-detail/tracer-behavior コンポーネントを対象としています。
de Lucasが共有した技術的詳細によると、攻撃者はjid GETパラメータを通じて悪意のあるオペレーティングシステムコマンドを注入することができます。
単純なパイプシンボル(|)を使用することで、攻撃者は意図されたアプリケーションロジックから脱出し、基盤となるサーバーに許可されていないコマンドを実行させることができます。
これらのコマンドの結果を表示するために、悪用はWebルートディレクトリに直接保存されるテキストファイルに出力を巧妙にリダイレクトします。攻撃者はその後、Webブラウザを通じてこのファイルを簡単にダウンロードして、システムの応答を見ることができます。
公開されたPoCは、この重大な脆弱性を悪用することがいかに簡単かを示しています。攻撃者がリモートコマンド実行(RCE)を達成するために必要なのは、基本的なcurlコマンドだけで、事前の認証や有効な認証情報を必要としません。
- 対象エンドポイントは
/fortisandbox/job-detail/tracer-behaviorパスです。 - 注入ベクトルは、パイプ文字を通じて操作された
jidパラメータに依存しています。 - コマンドはrootユーザーとして実行され、攻撃者にアプライアンスの完全な制御を与えます。
- FortiSandboxバージョン4.4.0から4.4.8は、この攻撃に完全に脆弱です。
軽減戦略
悪用コードが現在公開され、認証がゼロであるため、野生での積極的な悪用のリスクは非常に高いです。
脅迫行為者は定期的に脆弱なFortinet アプライアンスをスキャンし、この攻撃の単純さはランサムウェア運用者と自動化されたボットネットの両方にとって魅力的なターゲットにします。
FortiSandbox環境を管理する管理者は、ネットワークを保護するために直ちに行動を取るべきです:
- FortiSandboxを4.4.0から4.4.8の範囲外のパッチ版にすぐにアップグレードしてください。
- 脆弱なtracer behaviorエンドポイントを対象とした疑わしいGETリクエストについてシステムログを確認してください。
- 攻撃者がシステムに対して既に悪用をテストしている可能性を示す予期しないテキストファイルがないかWebルートディレクトリを確認してください。
- さらなるガイダンスと代替の回避方法については、Fortinet社の公式PSIRT勧告を参照してください。
翻訳元: https://gbhackers.com/poc-released-for-fortisandbox-flaw/
