← 返回信息流
AI 资讯Hacker News·1 小时前

FortiSandbox未授权命令注入漏洞加入CISA KEV

原标题:CVE-2026-25089: FortiSandbox unauthenticated command injection added to CISA KEV

速览

Fortinet旗下FortiSandbox产品被发现存在一个未经身份验证即可执行命令注入的严重漏洞(CVE-2026-25089),攻击者无需登录即可远程利用。该漏洞已被美国CISA列入已知被利用漏洞目录(KEV),表明已出现实际攻击活动。受影响的用户应尽快升级到修复版本,避免遭受攻击。该漏洞的加入也凸显了安全产品自身安全性的重要性。

AI 深度解读

背景

FortiSandbox 是 Fortinet 旗下的一款高级威胁检测与沙箱分析产品,广泛部署于企业内网,用于接收并分析来自 FortiGate、FortiMail、FortiWeb、FortiProxy 等 Fortinet 产品的可疑文件、URL 和流量,生成威胁判定结果并驱动自动化响应策略。由于其承担着安全决策中枢的角色,一旦被攻破,可能影响下游所有产品的判断准确性。

2026 年 7 月 16 日,美国网络安全与基础设施安全局(CISA)将编号为 CVE-2026-25089 的 FortiSandbox 漏洞加入已知被利用漏洞目录(KEV),并要求联邦民事行政部门(FCEB)机构在 7 月 19 日前完成修复。这是两个月内第三起被野外利用的 FortiSandbox 漏洞。

核心内容

漏洞详情

CVE-2026-25089(CWE-78:OS 命令注入中特殊元素未正确中和)是 FortiSandbox Web 管理界面中的一个未授权操作系统命令注入漏洞。该漏洞位于“启动 VNC”功能模块,攻击者可通过向该端点发送包含 shell 元字符的 JSON 载荷的 HTTP 请求,实现远程命令执行。无需身份验证、无需用户交互、攻击复杂度低。

  • CVSS 评分:Fortinet CNA 记录为 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),其 PSIRT 公告列为 9.1,NVD 尚未发布独立评分。
  • CWE:CWE-78(OS 命令注入)
  • 受影响版本
    • FortiSandbox 4.2.x(所有版本)
    • FortiSandbox 4.4.0–4.4.8
    • FortiSandbox 5.0.0–5.0.5
    • FortiSandbox Cloud 5.0.4–5.0.5
    • FortiSandbox PaaS 5.0.4–5.0.5
  • 修复版本
    • FortiSandbox 4.4.9+
    • FortiSandbox 5.0.6+
    • Cloud/PaaS 5.0.6+
    • 注意:CNA 记录将 4.2.x 列为受影响,但 Fortinet 公告未提供 4.2 的修复版本,需联系 Fortinet 获取迁移指导。
  • 利用情况:自 2026 年 6 月中旬起已有活跃利用确认;CISA 于 7 月 16 日将其列入 KEV,BOD 26-04 截止日期为 7 月 19 日(适用于 FCEB 机构)。
  • 公告编号:Fortinet PSIRT FG-IR-26-141

相关 FortiSandbox 漏洞利用活动

CVE-2026-25089 是 2026 年第三个被野外利用的 FortiSandbox 漏洞。前两个漏洞于 4 月修复,6 月中旬已出现利用:

  • CVE-2026-39808:OS 命令注入(CNA CVSS 9.8,PSIRT 9.1),未认证 RCE。KEVIntel 于 6 月 12 日观察到利用。
  • CVE-2026-39813:路径遍历导致认证绕过(CNA CVSS 9.8,PSIRT 9.1)。Defused 于 6 月 15 日观察到利用。

威胁情报公司 Defused 通过蜜罐检测到针对这三个 CVE 的利用尝试。FortiSandbox 之所以成为高价值目标,是因为集成的 Fortinet 产品(FortiGate、FortiMail、FortiWeb、FortiProxy)依赖其威胁判定结果来执行阻断决策并触发自动化响应。安全响应人员应检查相关集成工作流中是否存在意外的判定结果、签名或配置变更。

调查工作流

FortiSandbox 设备通常部署在防火墙后的内部网络中,但其 Web 管理界面可能通过管理 VLAN 访问,甚至在某些部署中暴露于互联网。识别暴露的实例是第一步。

  1. 端口扫描:寻找 FortiSandbox 设备。

    • 443:HTTPS Web UI(管理界面,漏洞所在)
    • 80:HTTP Web UI(若未强制 HTTPS 重定向)
    • 22:SSH 管理
    • 514:OFTP(用于接收其他 Fortinet 产品的文件/URL/流量提交)
  2. HTTP 头部:识别 FortiSandbox 界面。

    • HTML 标题包含“FortiSandbox”
    • HTTP 头部引用 Fortinet 或 FortiSandbox
    • 登录页面带有 Fortinet 品牌和 FortiSandbox 产品名称
    • Server 头部可能标识 Fortinet Web 服务器
  3. TLS 检查:检查 443 端口的证书。

    • Subject CN 或 SAN 包含“FortiSandbox”或“fortisandbox”
    • Fortinet 默认自签名证书(常见于初始部署)
    • Organization 字段引用 Fortinet
  4. DNS 查询:搜索常见 FortiSandbox 命名模式,如 sandbox.、fortisandbox.、fsb.、fsa.。内部 DNS 中常用描述性主机名。

  5. CVE 查询:跟踪所有三个漏洞(CVE-2026-25089、CVE-2026-39808、CVE-2026-39813),检查是否存在对应版本。FortiSandbox 4.4.9+ 修复了 4.4 分支上的所有三个漏洞;5.0.6+ 修复了 5.0 分支上的受影响漏洞(CVE-2026-39808 不影响 5.0)。

注意:以上指纹为启发式方法,可识别可能的 FortiSandbox 实例,但无法确认补丁级别。FortiSandbox 不在 HTTP 头部暴露固件版本,需登录管理 UI 查看 System > Dashboard。

外部数据交叉引用

  • SHODAN:搜索 http.title:"FortiSandbox"ssl:"FortiSandbox" 可找到互联网暴露的实例。
  • CVE 查询:跟踪 CVE-2026-25089、CVE-2026-39808、CVE-2026-39813 的漏洞披露信息。
  • CISA KEV:CVE-2026-25089 于 2026 年 7 月 16 日列入,BOD 26-04 截止日期为 7 月 19 日(FCEB 机构)。
  • Fortinet:FG-IR-26-141

修复与缓解措施

  • 立即升级:将 FortiSandbox 升级至 4.4.9+ 或 5.0.6+。Cloud 和 PaaS 部署应升级至 5.0.6+。4.2.x 用户需联系 Fortinet 获取迁移或缓解指导。若无法立即修补,应将管理界面与不受信任的网络隔离,仅允许指定管理主机访问。
  • 同时修复相关 CVE:CVE-2026-39808 和 CVE-2026-39813 已于 2026 年
查看原文 →hellorecon.com