FortiSandbox Fortinet Diserang: Tiga Kelemahan Kritikal Skor 9.1 Dieksploitasi

Firma risikan ancaman Defused melaporkan pada 16 Jun 2026 bahawa tiga kerentanan kritikal dalam platform analisis perisian hasad Fortinet, FortiSandbox, sedang dieksploitasi secara aktif dalam tempoh 24 jam . Kelemahan ini membolehkan pelaksanaan kod jarak jauh tanpa pengesahan dan pemintasan pengesahan pada produk yang dipercayai oleh banyak peralatan keselamatan hiliran Fortinet untuk menentukan keputusan perisian hasad. Menambah dimensi baru kepada ancaman ini, salah satu eksploitasi disyaki dijana oleh AI, menggambarkan kedua-dua kepantasan yang semakin meningkat dalam penghasilan senjata siber dan batasan semasa kod serangan yang ditulis oleh mesin.

Tiga Kerentanan Yang Sedang Dieksploitasi Secara Aktif

Kesemua tiga kerentanan diberikan skor CVSS 9.1, meletakkannya dengan kukuh dalam zon keterukan kritikal yang memerlukan tindakan segera .

CVE-2026-39813: Lintasan laluan dalam API JRPC

• Jenis: Lintasan Laluan (Path Traversal)
• Vektor Serangan: Seorang penyerang tanpa pengesahan boleh memintas pengesahan dengan menghantar permintaan HTTP yang direka khas ke API JRPC FortiSandbox .
• Produk Terjejas: FortiSandbox 5.0.0 hingga 5.0.5, dan 4.4.0 hingga 4.4.8 .
• Status: Kelemahan ini tidak mempunyai rekod eksploitasi sebelum laporan 16 Jun .

CVE-2026-39808: Suntikan arahan OS

• Jenis: Suntikan Arahan OS (OS Command Injection)
• Vektor Serangan: Seorang penyerang tanpa pengesahan boleh melaksanakan kod atau arahan yang tidak dibenarkan dengan menghantar permintaan HTTP yang direka khas .
• Produk Terjejas: FortiSandbox 4.4.0 hingga 4.4.8, dengan tampalan yang ditangani dalam nasihat Fortinet yang lebih awal .

CVE-2026-25089: Suntikan arahan OS dalam Antara Muka Web

• Jenis: Suntikan Arahan OS (CWE-78)
• Vektor Serangan: Kerentanan terletak pada ciri "mula VNC" Antara Muka Web, yang menghantar input JSON yang tidak dibersihkan terus ke sistem operasi. Seorang penyerang jauh tanpa pengesahan boleh melaksanakan arahan sewenang-wenangnya melalui permintaan HTTP yang direka khas .
• Versi Terjejas:
  • FortiSandbox 5.0.0 hingga 5.0.5
  • FortiSandbox 4.4.0 hingga 4.4.8
  • FortiSandbox 4.2 (semua versi)
  • FortiSandbox Cloud 5.0.4 hingga 5.0.5
  • FortiSandbox PaaS 5.0.4 hingga 5.0.5
• Tampalan: Fortinet mengeluarkan nasihat (FG-IR-26-141) dan tampalan pada 9 Jun 2026. Menaik taraf ke FortiSandbox 5.0.6 atau ke atas, FortiSandbox Cloud 5.0.6 atau ke atas, dan FortiSandbox PaaS 5.0.6 atau ke atas menyelesaikan kelemahan ini .

Nota mengenai pemarkahan CVSS: Walaupun beberapa sumber awal menyenaraikan CVE-2026-39808 dan CVE-2026-39813 dengan skor CVSS 9.8 , laporan pertengahan Jun yang berwibawa daripada NVD, Defused, BleepingComputer, dan The Hacker News secara konsisten mengesahkan penarafan 9.1 untuk ketiga-tiga CVE . Pasukan keselamatan harus menggunakan skor 9.1 untuk selaras dengan risikan ancaman semasa.

Apa yang CVE-2026-25089 Dedahkan Mengenai Kod Eksploitasi Jana AI

Defused melaporkan bahawa eksploitasi yang menyasarkan CVE-2026-25089 kelihatan "vibecoded" — istilah yang menunjukkan kod itu berkemungkinan dijana AI atau dihasilkan secara tergesa-gesa, tidak mempunyai kemasan dan kebolehpercayaan eksploitasi profesional buatan tangan .

Pemerhatian ini menyediakan jendela yang jarang berlaku tentang bagaimana AI mengubah ekonomi eksploitasi kerentanan:

• Halangan kemasukan yang lebih rendah: Model AI boleh menghasilkan kod eksploitasi berfungsi dengan pantas untuk kelas pepijat yang jelas seperti suntikan arahan OS, membolehkan pelaku yang kurang mahir mencuba serangan ke atas kerentanan yang baru ditampal. Tiada eksploitasi awam yang sah dan boleh dipercayai wujud untuk CVE-2026-25089, namun eksploitasi bermula dalam beberapa hari selepas tampalan dikeluarkan .
• Pelaksanaan yang rosak dan tidak konsisten: Rangkaian serangan yang diperhatikan menggunakan spoofing User-Agent pelayar standard dan permintaan HTTP asas, tetapi "beban" (payload) dinilai sebagai "berpotensi rosak dengan hasil pelaksanaan kod yang tidak konsisten" . Ini selaras dengan realiti lebih luas kod janaan AI: ia sering betul dari segi sintaks tetapi rapuh dari segi logik, terutamanya untuk kerentanan yang memerlukan manipulasi peringkat protokol yang tepat.
• Serangan yang lebih bising dan mudah dikesan: Eksploitasi yang cacat menghasilkan lebih banyak hingar rangkaian dan keadaan ralat berbanding alat buatan tangan yang teliti. Bagi pembela, ini bermakna serangan ini mungkin lebih mudah dikesan melalui analitik tingkah laku dan pengesanan anomali, walaupun ia masih cukup berbahaya untuk berjaya terhadap sistem yang tidak ditampal .
• Kemungkinan trend masa depan: CVE-2026-25089 berfungsi sebagai kajian kes awal. Ketersediaan model bahasa besar telah mengurangkan masa antara pelepasan tampalan dan percubaan eksploitasi pertama. Walaupun keputusan hari ini tidak konsisten, trajektori menuju ke arah pembangunan eksploitasi berbantu AI yang lebih berkemampuan dalam masa terdekat.

Apa Yang Pasukan Keselamatan Perlu Lakukan Sekarang

Tiga kerentanan FortiSandbox adalah tanpa pengesahan, berkekompleksan rendah, dan tidak memerlukan interaksi pengguna — menjadikannya calon ideal untuk pengimbasan automatik dan eksploitasi besar-besaran . FortiSandbox amat sensitif kerana produk Fortinet lain, termasuk tembok api (firewall) dan sistem pengesanan titik akhir, mungkin bergantung pada keputusan perisian hasadnya untuk mencetuskan keputusan penyekatan automatik .

• Tampal segera: Naik taraf ke versi tetap yang dinyatakan dalam nasihat Fortinet FG-IR-26-141 untuk CVE-2026-25089, dan sahkan bahawa tampalan untuk CVE-2026-39813 dan CVE-2026-39808 (dikeluarkan pada April 2026) telah digunakan .
• Asingkan antara muka pengurusan: Hadkan akses kepada Antara Muka Web FortiSandbox dan API JRPC daripada rangkaian yang tidak dipercayai. Antara muka ini tidak seharusnya didedahkan kepada internet awam .
• Mengesan IoC (Indikator Kompromi): Cari permintaan HTTP yang menyasarkan Antara Muka Web FortiSandbox dengan beban JSON yang direka luar biasa, dan pantau rentetan standard User-Agent pelayar dalam trafik ke peralatan tersebut .
• Andaikan kesan hiliran: Jika anda menggunakan FortiGate, FortiAnalyzer, atau produk Fortinet lain yang diintegrasikan dengan FortiSandbox, sahkan bahawa mereka menerima keputusan yang sah dan tiada perubahan konfigurasi yang tidak dibenarkan telah berlaku.

Tiada kesan pelanggan atau atribusi kepada kumpulan ancaman tertentu telah disahkan setakat 16 Jun 2026, tetapi jurang masa antara pelepasan tampalan dan eksploitasi aktif di alam liar menekankan keperluan mendesak bagi organisasi untuk menganggap kelemahan berkadar 9.1 ini sebagai insiden keutamaan tertinggi .