Napadači iskoriscavaju tri ranjivosti u Fortinet FortiSandbox resenju
Napadači aktivno eksploatušu tri kritične ranjivosti u Fortinet FortiSandbox rešenju sa CVSS skorom 9.1.
Šta se desilo?
Bezbednosna firma Defused Cyber zabeležila je aktivnu eksploataciju tri kritične ranjivosti u Fortinet FortiSandbox platformi. Napadači koriste CVE-2026-39813, CVE-2026-39808 i CVE-2026-25089 kako bi pristupili sistemima bez autentifikacije i izvršili neovlašćene komande na pogođenim serverima.
Koga pogađa?
Pretnja pogađa sve organizacije koje koriste Fortinet FortiSandbox rešenje, kao i FortiSandbox Cloud i FortiSandbox PaaS verzije. Pogođeni su posebno oni operateri koji nisu instalirali najnovije bezbednosne zakrpe ili koriste starije verzije softverskog paketa.
Kako se zaštititi?
- Odmah instalirajte sve dostupne bezbednosne zakrpe od Fortineta
- Ažurirajte FortiSandbox na najnoviju verziju
- Ograničite pristup JRPC API krajnjim tačkama kroz mrežni firewall
- Monitorujte logove za neobične HTTP zahteve sa specijalnim karakterima
- Primenjujte multi-faktor autentifikaciju za administrativni pristup
- Redovno pregledajte pristupe i logove autentifikacije
Tehnički detalji
CVE-2026-39813 (CVSS 9.1) je ranjivost prolaska kroz putanju u JRPC API koja dozvoljava zaobilaženje autentifikacije. CVE-2026-39808 (CVSS 9.1) je injekcija operativnog sistema koja omogućava izvršavanje komandi bez autentifikacije. CVE-2026-25089 (CVSS 9.1), ispravljena pre nedelju dana, takođe je injekcija operativnog sistema u web interfejsu. Prve dve ranjivosti su zakrpljene u aprilu 2026. godine. Defused Cyber napominje da je exploit za najnoviju ranjivost razvijen korišćenjem AI modela, ali ima greške, te još nije javno dostupan radni exploit.
Preporuka Sajber Radara
Potrebna je hitna akcija - sve organizacije sa FortiSandbox infrastrukturom treba odmah da primene dostupne bezbednosne zakrpe i provere da li su njihovi sistemi bili predmet napada. Razigranost napadača pokazuje da će se eksploatacija sigurno nastaviti u narednim danima.