Angreb retter sig mod FortiSandbox-sårbarheder
Tre kritiske sårbarheder i Fortinet FortiSandbox bliver i øjeblikket aktivt udnyttet, ifølge trusselsanalysefirmaet Defused. Sårbarhederne – EUVD-2026-22344 / CVE-2026-39813, EUVD-2026-22338 / CVE-2026-39808 og EUVD-2026-35443/ CVE-2026-25089 – gør det muligt for uautoriserede angribere at omgå autentifikation, eskalere privilegier og eksekvere vilkårlig kode via HTTP-forespørgsler.
Det skriver The Register og Help Net Security samt en række andre medier.
Fortinet selv har endnu ikke officielt bekræftet aktiv udnyttelse i det fri, men samtlige tre fejl er blevet tildelt en CVSS-score på 9.1 og er allerede blevet patchet. Ifølge Defused er exploitation observeret siden weekenden op til 16. juni 2026. EPSS-scorer på hhv. 23,64 pct, 66,17 pct og 2,66 pct peger også på, at det haster med at patche, hvis det ikke er gjort allerede.
Særlig opsigtsvækkende er det, at FortiSandbox historisk ikke har været et primært mål for angribere – i modsætning til eksempelvis FortiGate- og VPN-relaterede komponenter.
Tekniske detaljer: flere veje til kompromittering
De tre sårbarheder dækker forskellige angrebsoverflader, men har det til fælles, at de kan udnyttes uden legitim adgang:
- CVE-2026-39813 (path traversal / authentication bypass)
En fejl i FortiSandbox JRPC API’en gør det muligt at omgå autentifikation via specialudformede HTTP-anmodninger.
Berørte versioner: 4.4.0–4.4.8 og 5.0.0–5.0.5.
Patch: 4.4.9+ eller 5.0.6+. - CVE-2026-39808 (OS command injection)
En klassisk command injection-fejl, der muliggør udførelse af vilkårlige kommandoer uden autentifikation.
Berørte versioner: 4.4.0–4.4.8.
Patch: 4.4.9+. - CVE-2026-25089 (OS command injection i web UI)
Påvirker både FortiSandbox, FortiSandbox Cloud og PaaS-udgaven. Angribere kan sende specialkonstruerede HTTP-requests til webinterfacet og dermed køre uautoriserede kommandoer.
Berørte versioner inkluderer både on-prem og cloud-implementeringer i 4.4.x og 5.0.x-serien.
Patchet i nyere versioner udgivet i juni 2026.
Fælles for alle tre er, at de kan udnyttes remote og uden forudgående login – en kombination, der gør dem særligt attraktive i automatiserede angrebskampagner.
“Vibecodede” exploits peger på ny virkelighed
Defused bemærker, at exploit-kode for mindst én af sårbarhederne (CVE-2026-25089) allerede cirkulerer, men at den tilsyneladende er “vibecoded” – altså genereret eller delvist udviklet ved hjælp af AI – og muligvis ikke fuldt funktionel.
Selvom kvaliteten kan være tvivlsom, ændrer det ikke ved signaleffekten, at barrieren for at udvikle og teste exploits er faldende, hvilket er en tendens mange analyser, rapporter og trusselsvurderinger har peget på inden for det sidste års tid.
Det betyder i praksis, at:
- Flere sårbarheder – også i mindre eksponerede komponenter – kan forventes at blive forsøgt udnyttet
- Tiden fra offentliggørelse til aktiv exploitation fortsætter med at falde
- “Støj” fra halvt fungerende exploits kan gøre det sværere at skelne mellem reel og eksperimentel aktivitet i logs
Del af et bredere mønster omkring Fortinet
Fortinet-produkter er allerede blandt de mest attraktive mål i infrastrukturlaget, og nye sårbarheder indgår hurtigt i angribernes værktøjskasse.
Tidligere i juni advarede Check Point-forskere om, at ransomware-aktører havde haft et forspring på op mod en måned i udnyttelsen af en Fortinet VPN 0-day. Samme grupper mistænkes for systematisk at afsøge andre Fortinet-sårbarheder parallelt.
Samtidig har rapporter peget på:
- Angreb mod FortiClient EMS som zero-day
- Kampagner rettet mod hundredvis af FortiGate-enheder
- Øget automatisering i scanning og exploitation
FortiSandbox har hidtil været mindre udsat, men integrationen med øvrige Fortinet-produkter – hvor den leverer verdicts til blokering og automatiserede responsmekanismer – gør den til et attraktivt indirekte mål.
Patch nu – og verificér eksponering
Alle tre sårbarheder er lappet, heraf to i april 2026 uden rapporter om aktiv udnyttelse. Under to måneder senere observeres exploitation i praksis.
Organisationer bør derfor:
- Verificere versioner på alle FortiSandbox-installerede miljøer (inkl. cloud og PaaS)
- Opdatere til minimum:
- 4.4.9+
- 5.0.6+
- Gennemgå logs for mistænkelige HTTP-requests mod JRPC API og web UI
- Validere integrationspunkter til andre Fortinet-komponenter
Da exploitation sker over HTTP og uden autentifikation, vil eksponerede systemer være særligt udsatte, hvis de er direkte tilgængelige fra internettet.
Angrebsoverfladen udvides
The Register skriver, at sagen illustrerer en forskydning i trusselsbilledet: hvor angribere tidligere fokuserede på få, veldokumenterede adgangspunkter, ses nu bredere scanning og hurtigere operationalisering af nye sårbarheder – også i mere specialiserede komponenter.
FortiSandbox er et eksempel på netop dette: en funktionel kernekomponent, der normalt opererer i baggrunden, men som gennem kritiske fejl pludselig bliver et direkte angrebsmål.
Læs mere
- https://www.helpnetsecurity.com/2026/06/16/fortisandbox-vulnerabilities-cve-2026-39813-cve-2026-39808-cve-2026-25089/
- https://www.theregister.com/security/2026/06/16/three-critical-fortinet-sandbox-bugs-splattered-by-unknown-attackers/5256461
- https://securityaffairs.com/193709/ai/fortinet-warned-as-three-critical-fortisandbox-bugs-come-under-attack.html