Kiberbiztonsági kutatók szerint a fenyegető szereplők már aktívan kihasználják a Fortinet FortiSandbox platformot érintő több kritikus sérülékenységet.
A vállalati, kormányzati és kritikus infrastruktúrákban széles körben alkalmazott kártevőelemző megoldás elleni támadások ismét rámutatnak arra, hogy a nyilvánosan elérhető biztonsági javítások telepítésének késlekedése komoly kockázatot jelent.
A Defused fenyegetésfelderítő vállalat szerint a támadók legalább három, áprilisban javított sérülékenységet használnak ki:
- CVE-2026-39813
- CVE-2026-39808
- CVE-2026-25089
A hibák lehetővé tehetik, hogy egy hitelesítés nélküli támadó távolról parancsokat hajtson végre, jogosultságot emeljen, majd teljes irányítást szerezzen az érintett FortiSandbox rendszerek felett.
Gyorsan megjelentek a támadások
A Defused kutatói szerint a támadási kísérletek néhány nappal azután kezdtek felerősödni, hogy a sérülékenységekhez biztonsági frissítés vált elérhetővé.
Különösen figyelemre méltó a CVE-2026-39813, amelynek korábban nem volt ismert nyilvános kihasználása, mégis már megjelentek az első valós támadások.
A kutatók emellett aktivitást észleltek a CVE-2026-39808 és a CVE-2026-25089 ellen is. Utóbbi esetében ugyan több támadás hibás vagy hiányos exploit-kódot használt, azonban ez jellemzően azt jelzi, hogy a támadók már intenzíven dolgoznak a megbízható kihasználási módszerek fejlesztésén.
Ez ismét azt mutatja, hogy a fenyegető szereplők ma már rendszeresen figyelik a gyártók biztonsági közleményeit, és gyakran napokon belül fegyverként használják a nyilvánosságra hozott sérülékenységeket.
Miért kiemelten veszélyes egy FortiSandbox kompromittálása?
A FortiSandbox nem egy hagyományos alkalmazás, hanem számos vállalat biztonsági infrastruktúrájának egyik központi eleme.
Feladata többek között:
- gyanús fájlok elemzése,
- rosszindulatú programok felismerése,
- sandbox környezetben történő futtatás,
- más biztonsági megoldások támogatása.
A rendszer gyakran integrálódik:
- tűzfalakkal,
- végpontvédelmi rendszerekkel,
- e-mail biztonsági megoldásokkal,
- hálózati monitorozó rendszerekkel.
Egy sikeres kompromittálás során a támadó értékes információkat szerezhet például:
- a szervezet védelmi architektúrájáról,
- biztonsági szabályokról,
- naplókról,
- incidenskezelési folyamatokról,
- valamint más biztonsági rendszerekhez kapcsolódó hitelesítő adatokhoz.
A Fortinet egyelőre nem erősítette meg az aktív kihasználást
A Fortinet 2026. április 14-én adta ki a javításokat az érintett sérülékenységekre, és frissítésre kérte ügyfeleit.
A cikk megjelenésének időpontjában a vállalat még nem erősítette meg hivatalosan az aktív támadásokat, ugyanakkor a biztonsági szakértők azt javasolják, hogy minden internet felől elérhető FortiSandbox rendszert potenciálisan veszélyeztetettnek kell tekinteni.
A rendszergazdáknak javasolt:
- a naplóállományok átvizsgálása,
- szokatlan parancsvégrehajtások keresése,
- valamint annak ellenőrzése, hogy minden rendszer a javított verziót futtatja.
A Fortinet továbbra is kedvelt célpont
Az elmúlt években a Fortinet termékei rendszeresen szerepeltek:
- zsarolóvírus-támadásokban,
- kiberkémkedési kampányokban,
- valamint államilag támogatott támadásokban.
Ennek fő okai:
- széles körű vállalati és kormányzati elterjedtség,
- internet felől közvetlenül elérhető eszközök,
- magas jogosultságokkal rendelkező biztonsági infrastruktúra,
- kiváló kiindulópont oldalirányú hálózati mozgásokhoz.
Több Fortinet sérülékenységet korábban már nulladik napi (zero-day) támadásokban is kihasználtak.
Újabb kritikus FortiSandbox sérülékenységet is javítottak
A most kihasznált hibák mellett a Fortinet nemrég egy újabb kritikus FortiSandbox sebezhetőséget is javított:
- CVE-2026-26083
Ez távoli kódfuttatást (Remote Code Execution – RCE) tehet lehetővé az érintett rendszereken.
Bár jelenleg nem ismert széles körű kihasználása, a támadók gyakran alkalmazzák az úgynevezett patch diffing technikát, amely során a kiadott javítások elemzésével készítenek működő exploitokat.
Korábbi FortiClient EMS sérülékenység is célkeresztbe került
Idén korábban a CVE-2026-21643 azonosítójú SQL injection sérülékenységet is aktívan kihasználták a FortiClient Enterprise Management Server (EMS) ellen.
Az eset annyira súlyosnak bizonyult, hogy az amerikai Cybersecurity and Infrastructure Security Agency (CISA) felvette a sérülékenységet a Known Exploited Vulnerabilities (KEV) katalógusába, és három napon belüli javítást írt elő a szövetségi intézmények számára.
A támadók egyre gyakrabban láncolnak össze több sérülékenységet
A szakértők szerint a modern támadások során ritkán használnak csupán egyetlen hibát.
Sokkal gyakoribb, hogy több sérülékenységet kombinálnak:
- jogosultságemeléshez,
- tartós hozzáférés kialakításához,
- hitelesítő adatok megszerzéséhez,
- valamint oldalirányú mozgáshoz a hálózaton belül.
Ez jelentősen növeli a sikeres kompromittálás esélyét.
Mit tegyenek az érintett szervezetek?
Az aktív kihasználásról szóló jelentések miatt a szakértők az alábbi intézkedéseket javasolják:
- frissítsék az összes FortiSandbox rendszert a legújabb támogatott verzióra;
- ellenőrizzék a Fortinet biztonsági közleményeit;
- vizsgálják felül az internet felől elérhető biztonsági eszközöket;
- keressenek kompromittálásra utaló jeleket a naplókban;
- alkalmazzanak hálózati szegmentációt a támadók oldalirányú mozgásának korlátozására;
- kiemelt prioritással kezeljék a külső hálózat felől elérhető rendszerek sérülékenységeit;
- kövessék a fenyegetésfelderítési információkat az új indikátorok megjelenése miatt.
Összegzés
A FortiSandbox elleni aktív támadások ismét rámutatnak arra, hogy a biztonsági infrastruktúrát kiszolgáló rendszerek ma már elsődleges célpontjai a kiberbűnözőknek és az államilag támogatott támadóknak is.
A javítások rendelkezésre állnak, azonban a nyilvánosan ismert sérülékenységek fegyverként történő felhasználása egyre gyorsabbá válik. Azok a szervezetek, amelyek még nem telepítették az áprilisi Fortinet frissítéseket, jelentős kockázatnak tehetik ki biztonsági infrastruktúrájukat és vállalati hálózatukat.
