Atualizações fecham sete CVEs com pontuação entre 9,0 e 10,0 em sandbox de análise, gateway móvel e plataformas SAP, incluindo execução remota não autenticada e criação arbitrária de contas administrativas
| Componente | FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS WEB UI; Ivanti Sentry (ex-MobileIron Sentry) nas ramificações anteriores a R10.5.2, R10.6.2 e R10.7.1; SAP NetWeaver AS ABAP, ABAP Platform, SAP Commerce Cloud, SAP Data Hub e SAP NetWeaver Application Server Java (Web Container) |
| Vetor | Requisições HTTP especialmente construídas contra a interface WEB UI da Fortinet; requisição HTTP ao endpoint /mics/api/v2/sentry/mics-config/handleMessage interpretada como comando MICS e executada por handleExecute(); documentos XML assinados com identidade adulterada em autenticação SAML; requisições RFC construídas contra validação do protocolo no núcleo SAP; falhas adicionais em componente Spring e travessia de diretório no contêiner web Java |
| Impacto | Execução arbitrária de comandos do sistema operacional, execução remota de código com privilégio root, criação de contas administrativas arbitrárias, acesso não autorizado a dados sensíveis de usuários, corrupção de memória e potencial interrupção do uso normal dos sistemas; não há evidência de exploração ativa no momento do anúncio |
| Prioridade | Aplicar imediatamente os pacotes de segurança publicados pela Fortinet, Ivanti e SAP nas versões corrigidas, priorizando ativos expostos à internet e reforçando autenticação perimetral enquanto a atualização é validada |
| Versões | Ivanti Sentry: ramificações R10.5.2, R10.6.2 e R10.7.1 ou posteriores; demais produtos devem ser atualizados conforme boletins oficiais de cada fornecedor |
| Mitigação | Correção da Ivanti bloqueia acesso ao endpoint vulnerável e redireciona requisições não autenticadas para a página de login, além de adicionar camada de autenticação sobre o caminho de execução anteriormente explorável |
Fortinet, Ivanti e SAP publicaram atualizações de segurança para endereçar um conjunto de falhas classificadas como críticas, com potencial de execução arbitrária de código e divulgação de informação. O pacote de correções abrange ambientes de análise de malware, gateways de acesso móvel corporativo e múltiplos componentes de plataformas empresariais SAP, incluindo servidores de aplicação ABAP, autenticação SAML, serviços RFC, componentes Spring em soluções de comércio e hub de dados, além do contêiner web Java do NetWeaver.
Entre os identificadores divulgados, destacam-se CVE-2026-25089 na linha FortiSandbox, com pontuação CVSS 9,1; CVE-2026-10520 e CVE-2026-10523 no Ivanti Sentry, com pontuações 10,0 e 9,9 respectivamente; e quatro CVEs SAP — CVE-2026-44748 (9,9), CVE-2026-27671 (9,8), CVE-2026-22732 (9,1) e CVE-2026-40128 (9,0). Até o momento do anúncio, não há evidência de exploração ativa dessas falhas no ambiente real, mas a gravidade técnica e a exposição típica desses produtos em perímetros corporativos elevam a urgência de aplicação dos patches.
Na Fortinet, a falha CVE-2026-25089 corresponde a neutralização inadequada de elementos especiais usados em comandos do sistema operacional, classificada como CWE-78. A vulnerabilidade reside na interface WEB UI do FortiSandbox, do FortiSandbox Cloud e do FortiSandbox PaaS. Um atacante não autenticado pode enviar requisições HTTP especialmente construídas que resultam na execução de comandos não autorizados no sistema subjacente. O vetor não exige credenciais prévias, o que amplia o risco em instâncias administrativas acessíveis pela rede.
No Ivanti Sentry, pesquisadores identificaram dois caminhos distintos de comprometimento remoto. A CVE-2026-10520 é uma injeção de comando do sistema operacional que, em versões anteriores a R10.5.2, R10.6.2 e R10.7.1, permite a um usuário remoto não autenticado alcançar execução remota de código com privilégio root. A exploração ocorre por meio de requisição HTTP direcionada ao endpoint /mics/api/v2/sentry/mics-config/handleMessage, cujo conteúdo é interpretado como comando de configuração MICS e processado pelo componente de backend handleExecute(). Em paralelo, a CVE-2026-10523 representa bypass de autenticação no mesmo intervalo de versões, permitindo que um atacante remoto não autenticado crie contas administrativas arbitrárias e obtenha acesso administrativo completo. A correção da Ivanti não remove apenas o controle do atacante sobre o caminho de execução vulnerável: ela bloqueia o acesso ao endpoint afetado e redireciona requisições não autenticadas para a página de login, adicionando camada de autenticação que dificulta alcançar o ponto de execução.
No ecossistema SAP, a CVE-2026-44748 envolve vulnerabilidade de XML signature wrapping na autenticação SAML do NetWeaver AS ABAP e da ABAP Platform. Um atacante autenticado com privilégios normais pode obter uma mensagem assinada válida e reenviar documentos XML assinados com informação de identidade adulterada ao verificador. Devido à verificação inadequada da assinatura XML, a identidade manipulada é aceita, o que pode levar a acesso não autorizado a dados sensíveis de usuários e a perturbação do uso normal do sistema. A CVE-2026-27671 afeta o Application Server ABAP do NetWeaver e da ABAP Platform: um atacante não autenticado envia requisição RFC construída que explora a forma como o núcleo SAP valida o protocolo RFC, resultando em corrupção de memória. Complementarmente, a CVE-2026-22732 aponta potencial falha de segurança em componente Spring dentro do SAP Commerce Cloud e do SAP Data Hub, enquanto a CVE-2026-40128 descreve travessia de diretório no SAP NetWeaver Application Server Java, no contêiner web.
A superfície combina produtos frequentemente posicionados em funções sensíveis: sandbox de análise de arquivos, ponto de controle de dispositivos móveis e núcleo de aplicações ERP e de comércio digital. Organizações que mantêm versões desatualizadas do Ivanti Sentry nas ramificações R10.5.x, R10.6.x ou R10.7.x anteriores aos patches indicados permanecem expostas a execução remota não autenticada e à criação silenciosa de contas administrativas.
Ambientes SAP com autenticação SAML ativa no NetWeaver ABAP concentram risco de escalonamento por manipulação de assinatura, enquanto servidores ABAP expostos a tráfego RFC externo ou mal segmentado enfrentam a via de corrupção de memória da CVE-2026-27671. Instâncias do Commerce Cloud, Data Hub e do Application Server Java ampliam o raio para aplicações de e-commerce, integração de dados e serviços web hospedados no contêiner Java.
- FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS WEB UI — injeção de comando via interface web, sem autenticação prévia (
CVE-2026-25089, CVSS 9,1) - Ivanti Sentry antes de R10.5.2, R10.6.2 e R10.7.1 — RCE root remota não autenticada (
CVE-2026-10520, CVSS 10,0) e bypass de autenticação com criação de administradores (CVE-2026-10523, CVSS 9,9) - SAP NetWeaver AS ABAP e ABAP Platform — SAML com XML signature wrapping (
CVE-2026-44748, CVSS 9,9) e corrupção de memória via RFC (CVE-2026-27671, CVSS 9,8) - SAP Commerce Cloud e SAP Data Hub — potencial falha Spring (
CVE-2026-22732, CVSS 9,1) - SAP NetWeaver Application Server Java Web Container — travessia de diretório (
CVE-2026-40128, CVSS 9,0)
Equipes de detecção devem correlacionar telemetria de perímetro, autenticação e execução de processo nos ativos afetados, buscando padrões compatíveis com exploração pré-patch. Em FortiSandbox, monitorar tentativas de acesso não autenticado à WEB UI seguidas de execução anômala de processos filhos ou comandos de sistema originados do serviço da aplicação.
No Ivanti Sentry, sinais relevantes incluem requisições HTTP não autenticadas ao caminho /mics/api/v2/sentry/mics-config/handleMessage, respostas inesperadas antes da correção, criação súbita de contas com perfil administrativo e execução de processos com privilégio root associada ao serviço Sentry. Após o patch, requisições sem autenticação devem ser redirecionadas ao login; desvios desse comportamento merecem investigação.
Em ambientes SAP, revisar logs de autenticação SAML em busca de asserções com identidade inconsistente em relação ao emissor, falhas ou sucessos anômalos de verificação de assinatura XML e acessos subsequentes a objetos sensíveis. Para a falha RFC, observar conexões RFC de origens não esperadas, falhas de validação de protocolo seguidas de instabilidade de processo ABAP e eventos de corrupção de memória. No stack Java, procurar tentativas de acesso a caminhos fora do diretório autorizado e tráfego HTTP indicando travessia de diretório.
- Requisições HTTP não autenticadas contra WEB UI FortiSandbox e endpoint MICS do Ivanti Sentry
- Criação ou elevação repentina de contas administrativas no Ivanti Sentry sem ticket de change correspondente
- Asserções SAML com discrepância entre identidade declarada e metadados confiáveis no NetWeaver ABAP
- Sessões RFC anômalas ou falhas de validação de protocolo imediatamente antes de crash ou reinício de work process ABAP
- Padrões de requisição compatíveis com travessia de diretório no contêiner web Java do NetWeaver
A resposta deve seguir a ordem de inventário, contenção perimetral, aplicação de patch e validação pós-atualização. Primeiro, identificar todas as instâncias de FortiSandbox on-premises, cloud e PaaS, gateways Ivanti Sentry nas ramificações vulneráveis e componentes SAP ABAP, Commerce Cloud, Data Hub e Application Server Java dentro do parque tecnológico.
Enquanto a janela de manutenção é agendada, restringir acesso administrativo e de API desses ativos a redes de gestão confiáveis, reforçar autenticação multifator para administradores legítimos e bloquear exposição direta à internet quando a função não exigir acesso externo. No Ivanti Sentry, confirmar após o patch que requisições não autenticadas ao endpoint MICS são redirecionadas ao login e que não existe caminho alternativo para execução via handleExecute().
Aplicar os pacotes oficiais nas versões corrigidas de cada fornecedor e executar testes de regressão em autenticação SAML, fluxos RFC e aplicações Java dependentes. Após a atualização, revisar contas administrativas existentes no Sentry, rotacionar credenciais de serviço expostas a interfaces web ou RFC, e auditar logs retroativos cobrindo o período anterior ao patch em busca de indicadores compatíveis com as técnicas descritas.
- Atualizar FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS para versão que corrige
CVE-2026-25089 - Elevar Ivanti Sentry para R10.5.2, R10.6.2, R10.7.1 ou superior, fechando
CVE-2026-10520eCVE-2026-10523 - Aplicar correções SAP para
CVE-2026-44748,CVE-2026-27671,CVE-2026-22732eCVE-2026-40128conforme boletim do fornecedor - Restringir acesso de gestão e APIs sensíveis a segmentos administrativos até conclusão da atualização
- Auditar contas administrativas, logs SAML, tráfego RFC e acessos web Java no intervalo pré-patch
0 Comentários