Fortinet FortiSandboxの重大な脆弱性に対して、概念実証(PoC)コードが公開されました。この脆弱性は認証なしでリモートコマンド実行を可能にするもので、アクティブな攻撃のリスクを大幅に高めています。
CVE-2026-39808として追跡されているこの欠陥により、攻撃者は基盤となるオペレーティングシステム上で、ルートレベルの権限で任意のコマンドを実行できます。
この脆弱性は2025年11月に最初に特定され、Fortinetによって静かにパッチされた後、2026年4月にアドバイザリFG-IR-26-100の下で正式に開示されました。
PoCが公開されたことで、セキュリティ専門家は悪用の試みが急増する可能性があると警告しています。
この問題はFortiSandboxのWebエンドポイントにおける不適切な入力値検証に起因しています。具体的には、脆弱性は以下に影響します:
攻撃者はjid GETパラメータを操作することで、この欠陥を悪用できます。パイプ文字(|)を挿入することで、意図されたアプリケーションロジックを回避し、任意のシステムコマンドを実行できます。
リリースされたPoCは、認証不要で単純なcurlリクエストでリモートコマンド実行(RCE)を達成できることを示しています。
悪用コードの公開入手により、攻撃者の障壁が大幅に低下します。ボットネットオペレータやランサムウェアグループを含む脅威行為者は、露出したFortinetデバイスを積極的にスキャンすることで知られています。
この悪用の簡潔性を考えると、自動化された攻撃が非常に可能性が高いです。インターネットに露出したFortiSandboxの展開は特にリスクが高く、特にパッチが遅延している場合はそうです。
セキュリティ研究者は、この脆弱性が以下の点で魅力的であることを強調しています:
FortiSandboxを使用している組織は、露出を軽減し、侵害を防ぐために直ちに行動する必要があります。
このインシデントは、急速に悪用される脆弱性がもたらす増大するリスクを浮き彫りにしています。
PoC悪用コードが開示直後に利用可能になることが多いため、組織は新しい脅威から防御するために、タイムリーなパッチと継続的な監視を優先する必要があります。
