Prehľad situácie
Výskumníci v oblasti kybernetickej bezpečnosti zaznamenali aktívne zneužívanie viacerých kritických zraniteľností platformy Fortinet FortiSandbox – široko nasadeného riešenia na analýzu malvéru a detekciu hrozieb, ktoré využívajú podniky, vládne agentúry a organizácie kritickej infraštruktúry po celom svete.
Aktivita, pozorovaná v priebehu ostatných dní, poukazuje na rastúcu naliehavosť záplatovania bezpečnostných zariadení dostupných z internetu. Hrozební aktéri totiž čoraz častejšie prechádzajú od zverejnenia zraniteľnosti k jej zneužitiu v priebehu týždňov – niekedy dokonca dní – po vydaní opráv.
Identifikované zraniteľnosti
Spoločnosť Fortinet vydala bezpečnostné aktualizácie odstraňujúce tri kritické zraniteľnosti dňa 14. apríla a vyzvala zákazníkov na okamžitú aktualizáciu postihnutých systémov.
Podľa spravodajskej firmy Defused útočníci aktívne cieľujú na tieto CVE identifikátory:
| CVE | Popis dopadu |
|---|---|
| CVE-2026-39813 | Vzdialené vykonanie príkazov bez autentifikácie; prvýkrát zaznamenaná aktívna exploitácia |
| CVE-2026-39808 | Eskalácia privilégií; aktívne zneužívaná |
| CVE-2026-25089 | Potenciálne úplné ovládnutie systému; niektoré útoky využívajú neúplný exploit kód |
Zraniteľnosti sú obzvlášť nebezpečné, pretože nevyžadujú interakciu zo strany koncového používateľa a ich zneužitie je technicky nenáročné. Takéto vlastnosti ich robia mimoriadne atraktívnymi pre kyberzločinecké skupiny aj aktérov typu APT (Advanced Persistent Threat).
Fortinet zatiaľ aktívne zneužívanie verejne nepotvrdil.
Prečo je FortiSandbox kritickým cieľom
FortiSandbox je kľúčovou súčasťou mnohých podnikových bezpečnostných architektúr. Platforma identifikuje škodlivé súbory a pokročilý malvér spúšťaním obsahu v izolovaných prostrediach predtým, než sa dostane do produkčných systémov.
Keďže FortiSandbox sa integruje s firewallmi, platformami ochrany koncových bodov, bezpečnostnými bránami e-mailu a nástrojmi monitorovania sietí, úspešný kompromis môže útočníkovi poskytnúť:
- Prehľad o detekčných pravidlách a obrannej infraštruktúre organizácie
- Prístup k citlivej bezpečnostnej telemetrii
- Poverenia a integrácie spojené s ďalšími bezpečnostnými produktmi
- Informácie o architektúre siete a postupoch reakcie na incidenty
Eskalácia exploitačnej aktivity
Spoločnosť Defused uviedla, že zaznamenala pokusy o zneužitie viacerých zraniteľností FortiSandbox vrátane aspoň jednej, ktorá predtým nebola v praxi exploitovaná. Pri CVE-2026-25089 niektoré zaznamenané útoky využívali neúplný alebo potenciálne chybný exploit kód, čo naznačuje, že spoľahlivý verejný exploit pre túto zraniteľnosť ešte nebol široko zverejnený.
Napriek tomu aj nedokonalé pokusy o exploitáciu signalizujú rastúci záujem útočníkov a často predchádzajú vydaniu funkčnejších útočných nástrojov.
Súbežne Fortinet vydal záplatu pre ďalšiu kritickú zraniteľnosť FortiSandbox – CVE-2026-26083 – ktorá by mohla umožniť vzdialené vykonanie kódu. Rozsahová exploitačná kampaň zatiaľ nebola potvrdená, avšak hrozební aktéri bežne analyzujú novo vydané záplaty technikou „patch diffing“ s cieľom odhaliť základnú zraniteľnosť a vyvinúť funkčné exploity.
Fortinet ako opakovaný terč útokov
Najnovšie útoky sú súčasťou širšieho vzorca, ktorý robí z produktov Fortinet jeden z najčastejšie cielených technológií v podnikovej kybernetickej bezpečnosti. Za posledné roky sa zraniteľnosti Fortinet opakovane objavovali v súvislosti s ransomvérovými prienikmi, špionážnymi kampaňami a finančne motivovanými útokmi.
Bezpečnostní výskumníci pripisujú tento záujem viacerým faktorom:
- Rozšírené nasadenie v podnikových a vládnych prostrediach
- Časté vystavenie zariadení priamo internetu
- Vysokohodnotné administratívne privilégiá spojené s bezpečnostnou infraštruktúrou
- Možnosti laterálneho pohybu po počiatočnom kompromise
Ďalšie súvisiace incidenty
FortiClient EMS (CVE-2026-21643): Kritická SQL injekčná zraniteľnosť záplatovaná vo februári bola neskôr hlásená ako aktívne zneužívaná. Agentúra CISA ju zaradila do katalógu Known Exploited Vulnerabilities (KEV) a federálnym agentúram nariadila odstránenie zraniteľných systémov v zrýchlenom časovom rámci troch dní.
CVE-2025-61624: Zraniteľnosť typu path traversal umožňujúca eskaláciu privilégií za určitých podmienok. Útočníci ju pravdepodobne reťazili s ďalšími zraniteľnosťami v rámci komplexnejších útočných reťazcov.
Odporúčania pre organizácie
Vzhľadom na hlásené aktívne zneužívanie by organizácie mali okamžite:
- Aktualizovať všetky nasadenia FortiSandbox na najnovšie podporované verzie softvéru
- Skontrolovať bezpečnostné odporúčania vydané spoločnosťou Fortinet
- Preveriť expozíciu zariadení dostupných z internetu
- Prehľadať logy na indikátory kompromisu a nezvyčajnú administratívnu aktivitu
- Implementovať sieťovú segmentáciu na obmedzenie pohybu po kompromise
- Zabezpečiť, aby programy správy zraniteľností uprednostňovali externe exponované systémy
- Monitorovať spravodajské kanály hrozieb na nové indikátory súvisiace s exploitáciou FortiSandbox
Záver
Najnovšia exploitačná kampaň FortiSandbox je ďalšou pripomienkou toho, že správa záplat zostáva jednou z najkritickejších obranných opatrení proti hrozbám zo strany kyberzločincov aj štátnych aktérov. Pre organizácie, ktoré ešte neaplikovali aprílové bezpečnostné aktualizácie Fortinetu, sa časové okno pre preventívne opatrenia môže už uzatvárať.
Viac informácii:
https://www.linkedin.com/pulse/threat-actors-actively-exploit-multiple-critical-rwm4e
https://thehackernews.com/2026/06/attackers-exploit-three-fortinet.html