Fortinetin FortiSandboxia vastaan hyökätään: Kolme kriittistä 9.1-pisteen haavoittuvuutta aktiivisessa käytössä – yksi on todennäköisesti tekoälyn "vibekoodaama"

CVE-2026-39808: Käyttöjärjestelmän komentoinjektio

• Tyyppi: Käyttöjärjestelmän komentoinjektio
• Hyökkäysvektori: Tunnistautumaton hyökkääjä voi suorittaa luvatonta koodia tai komentoja lähettämällä erityisesti muotoiltuja HTTP-pyyntöjä .
• Vaikutuksen alaiset tuotteet: FortiSandbox 4.4.0–4.4.8. Korjaukset on käsitelty aiemmissa Fortinetin tiedotteissa .

CVE-2026-25089: Käyttöjärjestelmän komentoinjektio Web-käyttöliittymässä

• Tyyppi: Käyttöjärjestelmän komentoinjektio (CWE-78)
• Hyökkäysvektori: Haavoittuvuus sijaitsee Web-käyttöliittymän "start VNC" -toiminnossa, joka välittää suodattamatonta JSON-syötettä suoraan käyttöjärjestelmälle. Tunnistautumaton etähyökkääjä voi suorittaa mielivaltaisia komentoja erityisesti muotoiltujen HTTP-pyyntöjen avulla .
• Vaikutuksen alaiset versiot:
  • FortiSandbox 5.0.0–5.0.5
  • FortiSandbox 4.4.0–4.4.8
  • FortiSandbox 4.2 (kaikki versiot)
  • FortiSandbox Cloud 5.0.4–5.0.5
  • FortiSandbox PaaS 5.0.4–5.0.5
• Korjaus: Fortinet julkaisi neuvoa-antavan tiedotteen (FG-IR-26-141) ja korjaustiedostot 9. kesäkuuta 2026. Päivittäminen FortiSandbox 5.0.6:een tai uudempaan, FortiSandbox Cloud 5.0.6:een tai uudempaan ja FortiSandbox PaaS 5.0.6:een tai uudempaan korjaa ongelman .

Huomautus CVSS-luokituksesta: Muutamat varhaiset lähteet listasivat alun perin CVE-2026-39808:n ja CVE-2026-39813:n CVSS-luokitukseksi 9.8 , mutta arvovaltaisimmat kesäkuun puolivälin raportit NVD:ltä, Defusedilta, BleepingComputerilta ja The Hacker Newsilta vahvistavat johdonmukaisesti 9.1-luokituksen kaikille kolmelle CVE-tunnisteelle . Tietoturvatiimien tulisi noudattaa 9.1-luokitusta pysyäkseen ajan tasalla uhkatiedustelussa.

Mitä CVE-2026-25089 paljastaa tekoälyn tuottamasta hyökkäyskoodista

Defused raportoi, että CVE-2026-25089:ään kohdistuva hyökkäyskoodi vaikuttaa olevan "vibekoodattu" – termi, jolla viitataan todennäköisesti tekoälyn tuottamaan tai hätäisesti koottuun koodiin, josta puuttuu käsintehdyn, ammattimaisen hyökkäyskoodin viimeistely ja luotettavuus .

Tämä havainto tarjoaa harvinaisen kurkistusikkunan siihen, miten tekoäly muuttaa haavoittuvuuksien hyväksikäytön taloudellisia realiteetteja:

• Alempi kynnys hyökkääjille: Tekoälymallit voivat tuottaa nopeasti toimivaa hyökkäyskoodia suoraviivaisiin haavoittuvuuksiin, kuten käyttöjärjestelmän komentoinjektioon, mikä mahdollistaa vähemmän taitavienkin toimijoiden hyökkäysyritykset juuri korjattuihin haavoittuvuuksiin. CVE-2026-25089:lle ei ole vahvistettua, luotettavaa julkista hyökkäyskoodia, mutta hyväksikäyttö alkoi silti muutamassa päivässä korjaustiedoston julkaisusta .
• Viallinen ja epäjohdonmukainen toteutus: Havaitussa hyökkäysketjussa käytetään tavallista selaimen User-Agent-väärennöstä ja yksinkertaisia HTTP-pyyntöjä, mutta hyökkäyksen arvioidaan olevan "mahdollisesti viallinen ja tuottavan epäjohdonmukaisia koodin suoritustuloksia" . Tämä vastaa laajempaa todellisuutta tekoälyn tuottamasta koodista: se on usein syntaktisesti oikeaa, mutta loogisesti haurasta, erityisesti haavoittuvuuksissa, jotka vaativat tarkkaa protokollatason manipulointia.
• Äänekkäämmät, helpommin havaittavat hyökkäykset: Vialliset hyökkäyskoodit tuottavat enemmän verkkoliikenteen hälyä ja virhetiloja kuin huolellisesti käsintehdyt työkalut. Puolustajille tämä tarkoittaa, että nämä hyökkäykset voivat olla helpommin havaittavissa käyttäytymisanalytiikan ja poikkeamien havainnoinnin avulla, vaikka ne ovatkin riittävän vaarallisia onnistuakseen päivittämättömiä järjestelmiä vastaan .
• Todennäköinen tulevaisuuden trendi: CVE-2026-25089 toimii varhaisena esimerkkitapauksena. Suurten kielimallien saatavuus on lyhentänyt aikaa korjaustiedoston julkaisun ja ensimmäisten hyväksikäyttöyritysten välillä. Vaikka tämän päivän tulokset ovat epäjohdonmukaisia, kehityssuunta viittaa kohti kyvykkäämpää tekoälyavusteista hyökkäyskoodin kehitystä lähitulevaisuudessa.

Mitä tietoturvatiimien tulisi tehdä nyt

Nämä kolme FortiSandboxin haavoittuvuutta ovat tunnistautumattomia, matalan monimutkaisuuden omaavia eivätkä vaadi käyttäjän toimenpiteitä – mikä tekee niistä ihanteellisia kohteita automatisoidulle skannaukselle ja massahyväksikäytölle . FortiSandbox on erityisen herkkä kohde, koska muut Fortinet-tuotteet, mukaan lukien palomuurit ja päätelaitteiden tunnistusjärjestelmät (EDR), saattavat luottaa sen haittaohjelmien luokitteluihin käynnistääkseen automaattisia estopäätöksiä .

• Asenna korjaustiedosto välittömästi: Päivitä Fortinetin neuvonnan FG-IR-26-141 mukaisiin korjattuihin versioihin CVE-2026-25089:n osalta ja varmista, että CVE-2026-39813:n ja CVE-2026-39808:n korjaukset (julkaistu huhtikuussa 2026) on asennettu .
• Eristä hallintaliittymä: Rajoita pääsy FortiSandboxin Web-käyttöliittymään ja JRPC API:lle epäluotettavista verkoista. Näitä liittymiä ei tule altistaa julkiselle internetille .
• Etsi vaaramerkkejä (IoC): Etsi HTTP-pyyntöjä, jotka kohdistuvat FortiSandboxin Web-käyttöliittymään ja sisältävät epätavallisen muotoiltuja JSON-paketteja. Valvo erityisesti liikennettä, jossa käytetään tavallisia selainten User-Agent-merkkijonoja laitteeseen kohdistuvassa liikenteessä .
• Ota huomioon välilliset vaikutukset: Jos käytät FortiGate-, FortiAnalyzer- tai muita Fortinet-tuotteita, jotka on integroitu FortiSandboxiin, varmista, että ne vastaanottavat aitoja luokittelutietoja ja ettei luvattomia konfiguraatiomuutoksia ole tapahtunut.

Yhtään vahvistettua asiakasvaikutusta tai attribuutiota tietylle uhkaryhmälle ei ole vahvistettu 16. kesäkuuta 2026 mennessä, mutta korjaustiedoston julkaisun ja aktiivisen, todellisessa ympäristössä tapahtuvan hyväksikäytön välinen lyhyt ikkuna korostaa kiireellisyyttä, jolla organisaatioiden on käsiteltävä nämä 9.1-luokitellut haavoittuvuudet ensisijaisina hätätilanteina .