Observações recentes apontam exploração em massa de três CVEs com CVSS 9,1 no ecossistema FortiSandbox — duas corrigidas em abril e uma na interface web corrigida dias antes dos ataques.
| Componente | FortiSandbox (API JRPC), FortiSandbox Cloud e FortiSandbox PaaS (interface WEB UI) |
| Vetor | Requisições HTTP especialmente elaboradas enviadas por atacantes não autenticados contra endpoints expostos do produto |
| Impacto | Bypass de autenticação via path traversal (CVE-2026-39813), injeção de comandos do sistema operacional e execução de código ou comandos não autorizados (CVE-2026-39808 e CVE-2026-25089); CVSS 9,1 em todas |
| Prioridade | Aplicar imediatamente os patches Fortinet das três CVEs, priorizando instâncias expostas à internet e validando versões pós-abril de 2026 |
| Versões | CVE-2026-39813 e CVE-2026-39808 corrigidas em abril de 2026; CVE-2026-25089 corrigida na semana anterior à observação de exploração em 16 de junho de 2026 |
| Mitigação | Atualização oficial Fortinet; restrição de acesso administrativo à interface e à API; monitoramento de tráfego HTTP anômalo em appliances de sandbox |
Operadores maliciosos passaram a explorar ativamente três vulnerabilidades distintas no ecossistema FortiSandbox da Fortinet, conforme registro de observações feitas nas últimas vinte e quatro horas anteriores a está publicação. As falhas envolvidas são CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089, todas classificadas com pontuação CVSS 9,1, o que as coloca no patamar crítico de severidade. O cenário reforça um padrão recorrente em que appliances de segurança de perímetro e análise de ameaças se tornam alvos prioritários assim que correções são divulgadas ou quando janelas de exposição permanecem abertas em ambientes não atualizados.
A primeira falha, CVE-2026-39813, consiste em path traversal na API JRPC do FortiSandbox. Um atacante não autenticado pode, mediante requisições HTTP manipuladas, contornar mecanismos de autenticação e interagir com funcionalidades que deveriam exigir credenciais válidas. A segunda, CVE-2026-39808, representa injeção de comandos do sistema operacional pelo mesmo vetor HTTP, permitindo execução de código ou comandos não autorizados sem autenticação prévia. Ambas receberam correção da Fortinet em abril de 2026.
A terceira vulnerabilidade, CVE-2026-25089, também envolve injeção de comandos do sistema operacional, mas atinge especificamente a interface WEB UI do FortiSandbox, incluindo as variantes FortiSandbox Cloud e FortiSandbox PaaS. Foi corrigida na semana imediatamente anterior à detecção das explorações ativas. Sobre essa CVE, foi observado que o artefato de exploração analisado apresenta indícios de ter sido desenvolvido com auxílio de modelo de inteligência artificial, além de conter falhas que o tornam defeituoso; não há divulgação pública confirmada de um exploit plenamente funcional para essa falha. Mesmo assim, a atividade adversária registrada indica que operadores estão tentando capitalizar a falha em produção.
O conjunto de achados situa FortiSandbox como superfície de alto valor para adversários que buscam obter execução remota em infraestrutura de análise de malware — ambiente que, por definição, processa artefatos suspeitos e frequentemente mantém conectividade privilegiada com outros segmentos da rede corporativa. A exploração simultânea de três identificadores distintos sugere campanha coordenada ou reutilização rápida de capacidades já disponíveis no underground, aproveitando o intervalo entre publicação de patch e aplicação efetiva nas organizações.
O vetor comum entre as três falhas é o envio de requisições HTTP especialmente elaboradas a serviços expostos do FortiSandbox, sem que o atacante necessite de credenciais válidas. Essa característica elimina a barreira inicial de autenticação e reduz o custo operacional da exploração, tornando viável varredura automatizada de appliances acessíveis na internet ou em redes onde a interface administrativa foi exposta indevidamente.
No caso de CVE-2026-39813, o mecanismo de path traversal na API JRPC permite que caminhos de recurso sejam manipulados de forma a alcançar endpoints ou arquivos protegidos pelo controle de acesso. O efeito prático documentado é bypass de autenticação: o adversário obtém acesso funcional a operações que deveriam exigir sessão autenticada. Essa etapa pode servir como pivô para ações subsequentes dentro do appliance, inclusive preparação de terreno para exploração encadeada quando outras falhas coexistem na mesma instância.
CVE-2026-39808 e CVE-2026-25089 compartilham a classe de injeção de comandos do sistema operacional, diferindo principalmente no componente atingido — respectivamente a API JRPC e a interface WEB UI, está última estendendo-se às ofertas cloud e PaaS. Em ambos os casos, entradas não sanitizadas derivadas de parâmetros HTTP permitem que o sistema operacional subjacente interprete comandos arbitrários. O resultado confirmado pelo fabricante é execução de código ou comandos não autorizados com privilégios associados ao processo do serviço web, o que tipicamente confere ao atacante shell remoto ou capacidade equivalente de execução arbitrária no host.
A cronologia das correções amplifica o risco operacional. Duas falhas já possuíam patch desde abril de 2026, o que indica que parte significativa das explorações atuais provavelmente atinge instâncias que permaneceram desatualizadas por mais de dois meses. A terceira falha foi corrigida apenas na semana anterior à observação das tentativas ativas, criando uma janela clássica de exploração pós-divulgação em que scanners e operadores monitoram releases de segurança para desenvolver ou adaptar cadeias de ataque antes que a base instalada seja totalmente remediada.
Sobre CVE-2026-25089, a análise do artefato de exploração trouxe dois elementos relevantes para equipes de defesa. Primeiro, indícios de geração ou assistência por modelo de IA sugerem redução de barreira técnica para produção de exploits, mesmo que o resultado observado seja imperfeito. Segundo, a constatação de que o exploit analisado é defeituoso e que não há exploit funcional divulgado publicamente não elimina o risco: adversários com recursos suficientes podem corrigir localmente o código ou combinar a falha com outras técnicas, enquanto a atividade registrada confirma intento real de exploração em ambiente de produção.
A superfície primária compreende appliances FortiSandbox on-premises com API JRPC e interface WEB UI acessíveis, bem como instâncias FortiSandbox Cloud e FortiSandbox PaaS que compartilham a mesma base de código vulnerável na camada de interface web. Qualquer deployment que exponha esses serviços a redes não confiáveis — incluindo publicação direta na internet, VPN ampla ou segmentos de parceiros sem filtragem — concentra risco elevado.
Organizações que utilizam FortiSandbox como camada de detonação e análise de malware devem tratar o appliance como ativo crítico: ele recebe payloads maliciosos por design, executa código em ambiente controlado e frequentemente possui conectividade para sistemas de correlação, armazenamento e, em alguns desenhos de arquitetura, redes internas sensíveis. Comprometer o host do sandbox pode inverter a função defensiva do produto, transformando-o em ponto de apoio para movimentação posterior.
- Appliances FortiSandbox com API JRPC exposta e sem patch de abril de 2026 para
CVE-2026-39813eCVE-2026-39808 - Instâncias FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS com WEB UI vulnerável a
CVE-2026-25089antes da correção da semana anterior à detecção - Ambientes onde interfaces administrativas de appliances Fortinet são acessíveis além do estritamente necessário
- Infraestrutura Fortinet em geral, dado histórico recente de exploração ativa em outros produtos da linha, como correção emergencial de
CVE-2026-35616no FortiClient EMS também em abril de 2026
Equipes de detecção devem priorizar correlação entre tráfego HTTP inbound direcionado a appliances FortiSandbox e eventos de execução de processos anômalos no host subjacente. Como o vetor documentado não exige autenticação, picos de requisições com códigos de resposta atípicos, tentativas repetidas contra rotas da API JRPC ou da WEB UI, e payloads HTTP contendo sequências compatíveis com path traversal ou metacaracteres de injeção de comando constituem sinais primários de exploração ou reconhecimento.
Em appliances Fortinet, logs locais de administração, registros do serviço web, telemetria de firewall perimetral e fluxos NetFlow ou equivalentes na borda devem ser cruzados com inventário de versão de firmware ou build. Instâncias que constam no inventário como anteriores aos patches de abril de 2026 para as duas primeiras CVEs, ou anteriores à correção da semana passada para CVE-2026-25089, e que simultaneamente registram tráfego HTTP suspeito devem ser tratadas como candidatas a comprometimento até prova em contrário.
A natureza defeituosa do exploit observado para CVE-2026-25089 pode manifestar-se em telemetria como tentativas de exploração que falham parcialmente — erros de aplicação, reinicializações de serviço ou processos filho abortados — seguidas de novas tentativas com variações no payload. Esse padrão de tentativa e erro não deve ser descartado como ruído quando associado a origens externas e a endpoints críticos do FortiSandbox.
- Requisições HTTP não autenticadas contra rotas JRPC ou WEB UI do FortiSandbox com parâmetros contendo sequências de traversal ou metacaracteres de shell
- Processos filho inesperados originados pelo serviço web do FortiSandbox, especialmente shells ou interpretadores invocados fora de fluxos administrativos conhecidos
- Picos de tráfego de varredura direcionados a appliances Fortinet identificados por honeypots ou sensores perimetrais
- Discrepância entre versão instalada e builds mínimos que incluem correções de abril de 2026 ou a release da semana anterior para
CVE-2026-25089
A resposta deve iniciar pelo inventário imediato de todos os deployments FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS, comparando build ou versão de firmware com os boletins oficiais da Fortinet que cobrem CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089. A priorização deve favorecer instâncias com interface ou API acessível externamente e aquelas integradas a fluxos de análise de malware de alta criticidade.
Após aplicação de patches, recomenda-se reinicialização controlada dos serviços afetados conforme orientação do fabricante, validação funcional da capacidade de submissão e análise de amostras, e revisão de logs retroativos cobrindo pelo menos o período desde a divulgação de cada CVE até o momento da atualização. Instâncias que apresentarem indicadores de exploração devem ser isoladas da rede, submetidas a análise forense do sistema de arquivos e memória, e consideradas potencialmente comprometidas até conclusão da investigação.
Medidas compensatórias enquanto a atualização não é concluída incluem restringir acesso administrativo e de API exclusivamente a jump hosts ou segmentos de gestão, bloquear exposição direta na internet via políticas de firewall, e implementar inspeção profunda de pacotes ou WAF interno na frente da interface quando a arquitetura permitir. A rotação de credenciais administrativas armazenadas ou utilizadas pelo appliance deve ser avaliada se houver evidência de acesso não autorizado, embora o material analisado descreva primariamente execução de comandos e bypass de autenticação, não vazamento confirmado de dados.
Por fim, equipes que operam múltiplos produtos Fortinet devem estender a verificação de postura de patching além do FortiSandbox, dado o histórico recente de exploração ativa em outros componentes da linha. Programas de gestão de vulnerabilidades devem tratar appliances de segurança com a mesma cadência de emergência aplicada a servidores expostos, eliminando exceções baseadas na suposição de que o próprio produto de segurança se auto-protege sem manutenção contínua.
- Aplicar patches Fortinet para
CVE-2026-39813,CVE-2026-39808eCVE-2026-25089em todos os appliances e instâncias cloud identificados no inventário - Remover exposição desnecessária da API JRPC e da WEB UI do FortiSandbox à internet ou a redes não confiáveis
- Revisar logs HTTP e de sistema retroativos desde abril de 2026 buscando tráfego compatível com exploração das três CVEs
- Isolar e investigar forensemente qualquer instância com indicadores de execução de comandos não autorizados no host do sandbox
- Estender auditoria de patching a demais produtos Fortinet no parque, incluindo verificação de correção para falhas críticas recentemente exploradas em outros appliances
0 Comentários