Kẻ tấn công đang khai thác ba lỗ hổng bảo mật nghiêm trọng trong Fortinet Sandbox

Theo công ty tình báo mối đe dọa Defused, ba lỗ hổng nghiêm trọng trong sản phẩm sandbox của Fortinet đang bị khai thác tích cực bởi các kẻ tấn công chưa xác định danh tính. Các lỗi này cho phép kẻ tấn công từ xa bỏ qua xác thực, tăng đặc quyền và thực thi mã độc trên hệ thống.

Fortinet đã phát hành bản vá cho hai trong số ba lỗ hổng này là CVE-2026-39813 và CVE-2026-39808 vào tháng Tư, và lỗ hổng còn lại CVE-2026-25089 vào tuần trước. Tất cả ba lỗi đều nhận được điểm đánh giá nghiêm trọng là 9.1 theo thang điểm CVSS, mặc dù tại thời điểm phát hành bản vá, nhà cung cấp cho biết chưa có báo cáo về việc khai thác thực tế.

Chi tiết các lỗ hổng

CVE-2026-39813 là lỗi duyệt đường dẫn (path traversal) trong API JRPC của FortiSandbox, cho phép kẻ tấn công bỏ qua xác thực bằng cách sử dụng các yêu cầu HTTP được tạo đặc biệt. Lỗi này ảnh hưởng đến FortiSandbox phiên bản từ 4.4.0 đến 4.4.8 và từ 5.0.0 đến 5.0.5. Người dùng cần cập nhật lên phiên bản 4.4.9+ hoặc 5.0.6+ tùy theo nhánh để khắc phục.

CVE-2026-39808 là lỗi tiêm lệnh hệ điều hành (OS command injection) trong FortiSandbox, cho phép kẻ tấn công chưa được xác thực thực thi mã hoặc lệnh trái phép thông qua các yêu cầu HTTP. Lỗi này ảnh hưởng đến các phiên bản từ 4.4.0 đến 4.4.8, và việc nâng cấp lên FortiSandbox 4.4.9 trở lên sẽ vá lỗ hổng này.

Cuối cùng, CVE-2026-25089 là một lỗ hổng tiêm lệnh hệ điều hành khác ảnh hưởng đến FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS WEB UI. Nó cho phép kẻ tấn công chưa được xác thực thực thi các lệnh trái phép bằng các yêu cầu HTTP được tạo đặc biệt. Các phiên bản bị ảnh hưởng bao gồm FortiSandbox 4.4.0 đến 4.4.8 và 5.0.0 đến 5.0.5, cũng như các phiên bản Cloud và PaaS tương ứng.

Tình hình khai thác hiện tại

Theo Defused, hoạt động khai thác đã bắt đầu vào cuối tuần vừa qua.

"Chúng tôi đang quan sát thấy việc khai thác nhiều lỗ hổng Fortinet FortiSandbox trong 24 giờ qua," công ty tình báo mối đe dọa cho biết trong một bài đăng trên LinkedIn vào thứ Hai.

Defused lưu ý rằng mã khai thác (exploit) cho CVE-2026-25089 dường như được viết bằng AI (được mô tả là "vibe coded") và có thể bị lỗi. Tuy nhiên, rủi ro vẫn rất cao vì các nhóm tội phạm mạng thường xuyên lạm dụng các lỗ hổng của Fortinet.

Nếu bạn chưa cập nhật, hãy thực hiện việc này ngay lập tức để bảo vệ hệ thống trước các cuộc tấn công tiềm ẩn.