Критическая уязвимость в Fortinet FortiSandbox позволяет выполнять несанкционированные команды удалённо!

В платформе FortiSandbox обнаружена опасная уязвимость

В качестве важного предупреждения для специалистов в области информационной безопасности компания Fortinet сообщила об обнаружении серьёзной уязвимости в линейке своих продуктов FortiSandbox. Уязвимость, зарегистрированная под идентификатором CVE-2026-25089, позволяет удалённо и без прохождения аутентификации выполнять команды операционной системы.

Уровень опасности данной уязвимости составляет 9,1 балла по шкале CVSS v3, что соответствует категории «Критическая». Основная опасность заключается в том, что для её эксплуатации не требуется наличие учётной записи в системе или административных привилегий. С помощью специально сформированных HTTP-запросов злоумышленник может выполнять произвольные команды на уязвимой системе.

Техническое описание уязвимости

По словам специалистов, уязвимость возникла из-за недостатков в обработке команд операционной системы в веб-интерфейсе управления FortiSandbox. Данная проблема классифицируется как уязвимость типа CWE-78 — «OS Command Injection».

Уязвимости класса Command Injection позволяют злоумышленнику внедрять вредоносный код в системные команды, выполняемые приложением. В результате атакующий может:

  • выполнять произвольные команды в операционной системе;
  • изменять конфигурацию сервера;
  • получать доступ к конфиденциальным данным;
  • устанавливать вредоносное программное обеспечение;
  • выводить из строя системные службы;
  • осуществлять дальнейшие атаки внутри корпоративной сети.

Наиболее опасной особенностью является то, что данная атака не требует аутентификации. Это делает системы FortiSandbox, доступные из сети Интернет, привлекательной целью для киберпреступников.

Почему эта уязвимость опасна?

FortiSandbox широко используется в организациях и предприятиях для анализа вредоносного программного обеспечения, проверки неизвестных файлов и выявления сложных угроз. Данная платформа зачастую является важным компонентом инфраструктуры киберзащиты организации.

Если злоумышленнику удастся успешно скомпрометировать сервер FortiSandbox, он сможет:

  • обходить механизмы обнаружения вредоносного программного обеспечения;
  • манипулировать системами мониторинга безопасности;
  • создать плацдарм для доступа к другим системам внутри сети;
  • скрывать или фальсифицировать события информационной безопасности.

Поэтому данная уязвимость рассматривается не как обычная проблема веб-приложения, а как серьёзная угроза всей инфраструктуре информационной безопасности организации.

Затронутые продукты

По данным Fortinet, уязвимости подвержены следующие продукты и версии:

FortiSandbox

  • версии 5.0.0 – 5.0.5;
  • версии 4.4.0 – 4.4.8.

FortiSandbox Cloud

  • версии 5.0.4 – 5.0.5.

FortiSandbox PaaS

  • версии 5.0.4 – 5.0.5.

Неуязвимые версии

Следующие продукты признаны не подверженными данной уязвимости:

  • FortiSandbox 5.2;
  • FortiSandbox Cloud 4.4;
  • FortiSandbox Cloud 5.2;
  • FortiSandbox PaaS 4.4;
  • FortiSandbox PaaS 5.2;
  • FortiSandbox PaaS 23.4.

Исправления, предоставленные разработчиком

Компания Fortinet выпустила обновления, устраняющие данную уязвимость, и рекомендовала пользователям как можно скорее перейти на следующие версии:

ПродуктРекомендуемая версия
FortiSandbox 5.0.x5.0.6 или выше
FortiSandbox 4.4.x4.4.9 или выше
FortiSandbox Cloud5.0.6 или выше
FortiSandbox PaaS5.0.6 или выше

Уязвимость была обнаружена специалистом группы безопасности продуктов Fortinet (PSIRT) Адхамом Эль Карном (Adham El Karn) и опубликована под идентификатором FG-IR-26-141.

Состояние эксплуатации

На данный момент отсутствуют подтверждённые случаи эксплуатации данной уязвимости в реальных атаках. Однако практика показывает, что для критических уязвимостей, не требующих аутентификации, инструменты эксплуатации могут быть разработаны в короткие сроки после их публичного раскрытия.

Особенно это касается устройств безопасности и аналитических платформ, доступных из Интернета, которые регулярно выявляются злоумышленниками с помощью автоматизированных средств сканирования.

Рекомендации для организаций

Для снижения риска эксплуатации данной угрозы рекомендуется принять следующие меры:

Незамедлительно обновить программное обеспечение

Все затронутые системы FortiSandbox должны быть обновлены до версий, рекомендованных разработчиком, в максимально короткие сроки.

Ограничить доступ к веб-интерфейсу

До завершения процесса обновления рекомендуется разрешить доступ к интерфейсу FortiSandbox Web UI только с доверенных IP-адресов или из выделенных сегментов управления.

Анализировать журналы событий

Необходимо регулярно проверять журналы на наличие аномальных HTTP-запросов к веб-интерфейсу, обращений к неизвестным URL и признаков выполнения подозрительных системных команд.

Усилить сетевой мониторинг

Следует контролировать необычные исходящие подключения к внешним серверам, несанкционированную загрузку файлов и создание новых учётных записей пользователей.

Усилить сегментацию сети

Рекомендуется изолировать серверы FortiSandbox от других критически важных информационных систем организации с помощью механизмов сетевой сегментации.

Уязвимость CVE-2026-25089 является одной из наиболее опасных, обнаруженных в продуктах Fortinet FortiSandbox, поскольку позволяет выполнять удалённые команды без прохождения аутентификации. Низкая сложность атаки, отсутствие необходимости в аутентификации пользователя и влияние на центральный компонент инфраструктуры безопасности делают данную уязвимость одной из наиболее серьёзных угроз.

В связи с этим всем организациям, использующим FortiSandbox, рекомендуется незамедлительно установить обновления, ограничить доступ к веб-интерфейсам управления, проводить регулярный анализ журналов безопасности и усилить существующие меры защиты. Своевременное выполнение профилактических мероприятий позволит предотвратить потенциальные кибератаки и обеспечить надёжную защиту информационных ресурсов организации.