Fortinet FortiSandbox під атакою: хакери використовують три критичні «дірки»

За даними компанії Defused, що спеціалізується на кіберрозвідці, 16 червня 2026 року було зафіксовано активну експлуатацію одразу трьох критичних вразливостей у платформі FortiSandbox від Fortinet . Ці «дірки» дозволяють зловмисникам без жодної автентифікації виконувати довільний код на пристрої, якому довіряють інші захисні рішення для визначення шкідливості програм. Особливу тривогу викликає те, що один з експлойтів, ймовірно, був створений за допомогою штучного інтелекту, що є тривожним дзвіночком для всієї індустрії кібербезпеки.

Три критичні вразливості під активними атаками

Усім трьом вразливостям присвоєно оцінку 9.1 за шкалою CVSS, що відносить їх до найвищого рівня критичності та вимагає негайного реагування .

CVE-2026-39813: Обхід шляху в JRPC API

• Тип: Обхід шляху (Path Traversal)
• Вектор атаки: Неавтентифікований зловмисник може обійти автентифікацію, надсилаючи спеціально сформовані HTTP-запити до API JRPC у FortiSandbox .
• Вразливі продукти: FortiSandbox версій від 5.0.0 до 5.0.5, а також від 4.4.0 до 4.4.8 .
• Статус: До звіту Defused від 16 червня не було зафіксовано жодних випадків експлуатації цієї вразливості .

CVE-2026-39808: Ін'єкція команд в ОС

• Тип: Ін'єкція команд в операційній системі
• Вектор атаки: Неавтентифікований зловмисник може виконати несанкціонований код або команди, надсилаючи спеціально сформовані HTTP-запити .
• Вразливі продукти: FortiSandbox версій від 4.4.0 до 4.4.8. Патчі були випущені Fortinet ще у квітні 2026 року .

CVE-2026-25089: Ін'єкція команд через веб-інтерфейс

• Тип: Ін'єкція команд в ОС (CWE-78)
• Вектор атаки: Вразливість криється у функції «start VNC» веб-інтерфейсу, яка передає неочищені JSON-дані безпосередньо до операційної системи. Віддалений зловмисник без автентифікації може виконати довільні команди за допомогою спеціально сформованих HTTP-запитів .
• Вразливі версії:
  • FortiSandbox 5.0.0 – 5.0.5
  • FortiSandbox 4.4.0 – 4.4.8
  • FortiSandbox 4.2 (усі версії)
  • FortiSandbox Cloud 5.0.4 – 5.0.5
  • FortiSandbox PaaS 5.0.4 – 5.0.5
• Патч: Fortinet випустила патч (FG-IR-26-141) 9 червня 2026 року. Оновлення до версій FortiSandbox 5.0.6, FortiSandbox Cloud 5.0.6 або FortiSandbox PaaS 5.0.6 і вище усуває проблему .

Важливе уточнення щодо оцінки CVSS: Хоча в деяких ранніх джерелах CVE-2026-39808 і CVE-2026-39813 тимчасово оцінювалися в 9.8 балів , авторитетні звіти від NVD, Defused, BleepingComputer та The Hacker News станом на середину червня підтверджують єдину оцінку 9.1 для всіх трьох вразливостей . Командам безпеки слід орієнтуватися саме на цю оцінку.

Чому випадок CVE-2026-25089 — це тривожний дзвінок: ера «віброкодованих» атак

Defused повідомили, що експлойт для CVE-2026-25089, ймовірно, є «vibecoded» — термін, що описує код, створений нашвидкуруч, скоріш за все, за допомогою штучного інтелекту. Йому бракує надійності професійних інструментів, написаних вручну .

Це дає рідкісну можливість побачити, як ШІ змінює правила гри у світі кіберзагроз:

• Зниження порогу входу: Моделі ШІ можуть швидко генерувати робочий код для експлуатації добре відомих типів вразливостей, як-от ін'єкція команд, дозволяючи навіть не дуже кваліфікованим хакерам атакувати щойно пропатчені системи. Для CVE-2026-25089 не існувало публічного експлойта, але атаки почалися вже через кілька днів після виходу патча .
• Ненадійність і нестабільність: У зафіксованому ланцюжку атаки використовуються стандартні методи підміни User-Agent браузера, а сам експлойт оцінюється як «потенційно несправний з нестабільними результатами виконання» . Це відповідає ширшій реальності: згенерований ШІ код часто є синтаксично правильним, але логічно крихким.
• Більш помітні атаки: Недосконалі експлойти створюють більше «шуму» в мережі, ніж професійно написані інструменти. Для захисників це означає, що такі атаки легше виявити за допомогою аналітики поведінки та виявлення аномалій, хоча вони залишаються небезпечними для непропатчених систем .
• Ймовірний тренд майбутнього: CVE-2026-25089 — це лише перша ластівка. Доступність великих мовних моделей скорочує час між випуском патча та першими спробами атак. І хоча сьогоднішні результати нестабільні, вектор розвитку вказує на дедалі потужніші ШІ-експлойти в недалекому майбутньому.

Що робити командам безпеки просто зараз

Усі три вразливості є неавтентифікованими, мають низьку складність атаки і не потребують взаємодії з користувачем — це робить їх ідеальною ціллю для автоматизованого сканування та масової експлуатації .

• Негайно встановіть патчі: Оновіть FortiSandbox до версій, зазначених в рекомендаціях Fortinet. Для CVE-2026-25089 встановіть патч FG-IR-26-141. Переконайтеся, що патчі для CVE-2026-39813 та CVE-2026-39808, випущені у квітні 2026 року, також застосовані .
• Ізолюйте інтерфейс управління: Обмежте доступ до веб-інтерфейсу FortiSandbox та API JRPC з ненадійних мереж. Ці інтерфейси ні в якому разі не повинні бути відкриті в інтернет .
• Шукайте сліди компрометації: Відстежуйте HTTP-запити до веб-інтерфейсу з незвичними JSON-даними, а також звертайте увагу на стандартні рядки User-Agent браузерів у трафіку до вашого пристрою .
• Перевірте суміжні системи: Оскільки FortiGate, FortiAnalyzer та інші продукти Fortinet часто покладаються на вердикти FortiSandbox для автоматичного блокування загроз, важливо переконатися, що жодних несанкціонованих змін у конфігурації не відбулося, а вердикти є автентичними .

Станом на 16 червня 2026 року не підтверджено інформації про конкретні жертви або причетність певних хакерських угруповань, але рекордно короткий проміжок між випуском патча та початком реальних атак підкреслює необхідність ставитися до цих вразливостей з оцінкою 9.1 як до інцидентів найвищого пріоритету .