Три недавно исправленные уязвимости Fortinet FortiSandbox уже попали в поле зрения злоумышленников. По данным SecurityWeek, компания Defused наблюдает в своих honeypot попытки эксплуатации CVE-2026-39808, CVE-2026-39813 и CVE-2026-25089. Первые две проблемы Fortinet закрыла ещё в апреле 2026 года: CVE-2026-39813 позволяет обходить аутентификацию, а CVE-2026-39808 связана с OS command injection и может привести к выполнению произвольных команд. CVE-2026-25089 была исправлена в июньском наборе обновлений Fortinet и также позволяет удалённому неаутентифицированному атакующему выполнять команды на уязвимом устройстве.

Картина важна не только из-за конкретного продукта FortiSandbox, но и из-за скорости, с которой сетевые устройства превращаются в первичные точки входа. SecurityWeek пишет, что эксплуатацию CVE-2026-39808 независимо зафиксировала KEVIntel 12 июня, а атаки на CVE-2026-39813 Defused и KEVIntel наблюдали 15 июня. Defused также отмечает, что один из эксплойтов для CVE-2026-25089 выглядел как созданный с помощью ИИ и в первой замеченной версии не работал корректно. Даже если такой код сырой, сам факт быстрой генерации попыток эксплуатации увеличивает нагрузку на команды защиты.

Отдельный риск связан с уже скомпрометированными Fortinet firewall. SOCRadar, по данным SecurityWeek, обнаружила более 30 000 таких устройств в рамках кампании FortiBleed. Исследователи описывают систематический сбор проверенных учётных данных к Fortinet firewall и VPN-шлюзам. Злоумышленники, как утверждается, сканируют интернет, пробуют подготовленные списки паролей и записывают успешные входы. Компрометированные системы принадлежат компаниям и госорганизациям более чем в 190 странах, а значительная часть устройств находится в Индии и США.

Практические последствия для организаций прямые: FortiSandbox, firewall и VPN-шлюзы часто стоят на границе сети и получают доступ к чувствительному трафику, журналам, учётным записям и внутренним сегментам. При успешной эксплуатации злоумышленник может не только выполнить команды на устройстве, но и использовать его как плацдарм для дальнейшего движения. Поэтому одних обновлений недостаточно: администраторам стоит проверить версии FortiSandbox, ревизовать учётные записи, отключить неиспользуемый доступ, изучить журналы входов и убедиться, что для админ-интерфейсов действуют ограничения по IP и MFA.

Для компаний, которые давно не пересматривали периметр Fortinet, эта новость — повод провести инвентаризацию. Если устройство уже было доступно из интернета с устаревшей прошивкой или слабой аутентификацией, обновление закрывает только будущий вход, но не отвечает на вопрос, не оставил ли атакующий новые учётные записи, туннели или правила. В приоритете должны быть проверка признаков компрометации и смена секретов, связанных с управлением сетью.

Источник: SecurityWeek, 17 июня 2026