Aktívne zneužívanie viacerých kritických zraniteľností Fortinet FortiSandbox

Prehľad situácie

Výskumníci v oblasti kybernetickej bezpečnosti zaznamenali aktívne zneužívanie viacerých kritických zraniteľností platformy Fortinet FortiSandbox – široko nasadeného riešenia na analýzu malvéru a detekciu hrozieb, ktoré využívajú podniky, vládne agentúry a organizácie kritickej infraštruktúry po celom svete.

Aktivita, pozorovaná v priebehu ostatných dní, poukazuje na rastúcu naliehavosť záplatovania bezpečnostných zariadení dostupných z internetu. Hrozební aktéri totiž čoraz častejšie prechádzajú od zverejnenia zraniteľnosti k jej zneužitiu v priebehu týždňov – niekedy dokonca dní – po vydaní opráv.


Identifikované zraniteľnosti

Spoločnosť Fortinet vydala bezpečnostné aktualizácie odstraňujúce tri kritické zraniteľnosti dňa 14. apríla a vyzvala zákazníkov na okamžitú aktualizáciu postihnutých systémov.

Podľa spravodajskej firmy Defused útočníci aktívne cieľujú na tieto CVE identifikátory:

CVEPopis dopadu
CVE-2026-39813Vzdialené vykonanie príkazov bez autentifikácie; prvýkrát zaznamenaná aktívna exploitácia
CVE-2026-39808Eskalácia privilégií; aktívne zneužívaná
CVE-2026-25089Potenciálne úplné ovládnutie systému; niektoré útoky využívajú neúplný exploit kód

Zraniteľnosti sú obzvlášť nebezpečné, pretože nevyžadujú interakciu zo strany koncového používateľa a ich zneužitie je technicky nenáročné. Takéto vlastnosti ich robia mimoriadne atraktívnymi pre kyberzločinecké skupiny aj aktérov typu APT (Advanced Persistent Threat).

Fortinet zatiaľ aktívne zneužívanie verejne nepotvrdil.


Prečo je FortiSandbox kritickým cieľom

FortiSandbox je kľúčovou súčasťou mnohých podnikových bezpečnostných architektúr. Platforma identifikuje škodlivé súbory a pokročilý malvér spúšťaním obsahu v izolovaných prostrediach predtým, než sa dostane do produkčných systémov.

Keďže FortiSandbox sa integruje s firewallmi, platformami ochrany koncových bodov, bezpečnostnými bránami e-mailu a nástrojmi monitorovania sietí, úspešný kompromis môže útočníkovi poskytnúť:

  • Prehľad o detekčných pravidlách a obrannej infraštruktúre organizácie
  • Prístup k citlivej bezpečnostnej telemetrii
  • Poverenia a integrácie spojené s ďalšími bezpečnostnými produktmi
  • Informácie o architektúre siete a postupoch reakcie na incidenty

Eskalácia exploitačnej aktivity

Spoločnosť Defused uviedla, že zaznamenala pokusy o zneužitie viacerých zraniteľností FortiSandbox vrátane aspoň jednej, ktorá predtým nebola v praxi exploitovaná. Pri CVE-2026-25089 niektoré zaznamenané útoky využívali neúplný alebo potenciálne chybný exploit kód, čo naznačuje, že spoľahlivý verejný exploit pre túto zraniteľnosť ešte nebol široko zverejnený.

Napriek tomu aj nedokonalé pokusy o exploitáciu signalizujú rastúci záujem útočníkov a často predchádzajú vydaniu funkčnejších útočných nástrojov.

Súbežne Fortinet vydal záplatu pre ďalšiu kritickú zraniteľnosť FortiSandbox – CVE-2026-26083 – ktorá by mohla umožniť vzdialené vykonanie kódu. Rozsahová exploitačná kampaň zatiaľ nebola potvrdená, avšak hrozební aktéri bežne analyzujú novo vydané záplaty technikou „patch diffing“ s cieľom odhaliť základnú zraniteľnosť a vyvinúť funkčné exploity.


Fortinet ako opakovaný terč útokov

Najnovšie útoky sú súčasťou širšieho vzorca, ktorý robí z produktov Fortinet jeden z najčastejšie cielených technológií v podnikovej kybernetickej bezpečnosti. Za posledné roky sa zraniteľnosti Fortinet opakovane objavovali v súvislosti s ransomvérovými prienikmi, špionážnymi kampaňami a finančne motivovanými útokmi.

Bezpečnostní výskumníci pripisujú tento záujem viacerým faktorom:

  • Rozšírené nasadenie v podnikových a vládnych prostrediach
  • Časté vystavenie zariadení priamo internetu
  • Vysokohodnotné administratívne privilégiá spojené s bezpečnostnou infraštruktúrou
  • Možnosti laterálneho pohybu po počiatočnom kompromise

Ďalšie súvisiace incidenty

FortiClient EMS (CVE-2026-21643): Kritická SQL injekčná zraniteľnosť záplatovaná vo februári bola neskôr hlásená ako aktívne zneužívaná. Agentúra CISA ju zaradila do katalógu Known Exploited Vulnerabilities (KEV) a federálnym agentúram nariadila odstránenie zraniteľných systémov v zrýchlenom časovom rámci troch dní.

CVE-2025-61624: Zraniteľnosť typu path traversal umožňujúca eskaláciu privilégií za určitých podmienok. Útočníci ju pravdepodobne reťazili s ďalšími zraniteľnosťami v rámci komplexnejších útočných reťazcov.


Odporúčania pre organizácie

Vzhľadom na hlásené aktívne zneužívanie by organizácie mali okamžite:

  1. Aktualizovať všetky nasadenia FortiSandbox na najnovšie podporované verzie softvéru
  2. Skontrolovať bezpečnostné odporúčania vydané spoločnosťou Fortinet
  3. Preveriť expozíciu zariadení dostupných z internetu
  4. Prehľadať logy na indikátory kompromisu a nezvyčajnú administratívnu aktivitu
  5. Implementovať sieťovú segmentáciu na obmedzenie pohybu po kompromise
  6. Zabezpečiť, aby programy správy zraniteľností uprednostňovali externe exponované systémy
  7. Monitorovať spravodajské kanály hrozieb na nové indikátory súvisiace s exploitáciou FortiSandbox

Záver

Najnovšia exploitačná kampaň FortiSandbox je ďalšou pripomienkou toho, že správa záplat zostáva jednou z najkritickejších obranných opatrení proti hrozbám zo strany kyberzločincov aj štátnych aktérov. Pre organizácie, ktoré ešte neaplikovali aprílové bezpečnostné aktualizácie Fortinetu, sa časové okno pre preventívne opatrenia môže už uzatvárať.


Viac informácii:

https://www.linkedin.com/pulse/threat-actors-actively-exploit-multiple-critical-rwm4e

https://thehackernews.com/2026/06/attackers-exploit-three-fortinet.html