Fortinet schließt kritische RCE-Lücken in FortiSandbox und FortiAuthenticator

Zusammenfassung

Fortinet hat Sicherheitsupdates veröffentlicht, die zwei kritische Schwachstellen in FortiSandbox und FortiAuthenticator beheben. Beide Lücken könnten es Angreifern erlauben, auf ungepatchten Systemen Befehle oder beliebigen Code auszuführen. Die erste Schwachstelle, geführt als CVE-2026-44277, betrifft die Identity-and-Access-Management-Lösung FortiAuthenticator. Sie wurde laut einem Hinweis von Fortinet in den FortiAuthenticator-Versionen 6.5.7, 6.6.9 und 8.0.3 geschlossen. Die zweite Lücke, CVE-2026-26083, erlaubt eine entfernte Codeausführung auf verwundbaren FortiSandbox-Systemen, die eigentlich vor schädlichen Aktivitäten einschließlich Zero-Day-Bedrohungen schützen sollen. Beide Schwachstellen lassen sich nach Angaben des Herstellers von nicht authentifizierten Angreifern ausnutzen. Fortinet hat keine der beiden Lücken als bereits aktiv ausgenutzt eingestuft. Schwachstellen in Fortinet-Produkten werden allerdings häufig in Ransomware- und Cyberspionage-Angriffen missbraucht, oftmals als Zero-Days. Die US-Cybersicherheitsbehörde CISA hat in den vergangenen Jahren insgesamt 24 Fortinet-Schwachstellen in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen, von denen 13 auch in Ransomware-Angriffen eingesetzt wurden.

Die Schwachstelle CVE-2026-44277 betrifft FortiAuthenticator, die Identity-and-Access-Management-Lösung (IAM) des Herstellers. In seinem Hinweis beschreibt Fortinet sie als eine Schwachstelle bei der Zugriffskontrolle (CWE-284), die es einem nicht authentifizierten Angreifer ermöglichen kann, über präparierte Anfragen unautorisierten Code oder Befehle auszuführen. Behoben ist das Problem in den FortiAuthenticator-Versionen 6.5.7, 6.6.9 und 8.0.3.

Nicht betroffen ist nach Angaben von Fortinet der Cloud-Dienst FortiAuthenticator Cloud, früher unter dem Namen FortiTrust Identity bekannt. Dabei handelt es sich um ein von Fortinet selbst gehostetes und verwaltetes Identitäts- und Zugriffsmanagement als Cloud-Dienst (IDaaS).

Die zweite Lücke, CVE-2026-26083, ist eine fehlende Autorisierungsprüfung (CWE-862), über die sich eine entfernte Codeausführung auf anfälligen FortiSandbox-Systemen erreichen lässt. Laut Fortinet betrifft sie die Web-Oberfläche von FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS; ein nicht authentifizierter Angreifer kann über HTTP-Anfragen unautorisierten Code oder Befehle ausführen. FortiSandbox dient eigentlich dem Schutz vor schädlichen Aktivitäten, darunter auch Zero-Day-Bedrohungen.

Keine der beiden Schwachstellen wurde von Fortinet als bereits aktiv ausgenutzt markiert. Allerdings werden Lücken in Fortinet-Produkten häufig für Ransomware- und Cyberspionage-Angriffe missbraucht, oft noch als Zero-Days.

Als Beispiel verweist der Bericht auf eine weitere kritische Schwachstelle (CVE-2026-21643) im FortiClient Enterprise Management Server (EMS), die Fortinet in diesem Jahr behob und die das Bedrohungsanalyse-Unternehmen Defused einen Monat später als aktiv ausgenutzt einstufte. Kürzlich wies zudem die US-Cybersicherheitsbehörde CISA Bundesbehörden an, ihre Instanzen des FortiClient Enterprise Management Server gegen eine aktiv ausgenutzte Schwachstelle zur Umgehung der Authentifizierung (CVE-2026-35616) abzusichern.

Insgesamt hat CISA in den vergangenen Jahren 24 Fortinet-Schwachstellen in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. 13 davon wurden auch in Ransomware-Angriffen ausgenutzt.

Fortinet schließt kritische RCE-Lücken in FortiSandbox und FortiAuthenticator

Ähnliche Artikel

Neueste Artikel