Angreifer nutzen mehrere kritische Schwachstellen in Fortinet FortiSandbox aus

Zusammenfassung

Mehrere kritische Schwachstellen in Fortinets Bedrohungserkennungsplattform FortiSandbox werden inzwischen in Angriffen ausgenutzt. Darauf weist das Threat-Intelligence-Unternehmen Defused hin. Betroffen sind die von Fortinet mit Updates adressierten Lücken CVE-2026-39813, CVE-2026-39808 und CVE-2026-25089. Nach Angaben des Herstellers ermöglichen sie nicht authentifizierten Angreifern, über Command-Injection-Angriffe mit geringer Komplexität ohne Nutzerinteraktion ihre Rechte zu erweitern und aus der Ferne nicht autorisierten Code auszuführen. Um die Probleme zu beheben und eingehende Angriffe zu blockieren, müssen Administratoren laut Fortinet auf die neuesten verfügbaren Versionen aktualisieren. Die Entwicklung ist relevant, weil Fortinet-Schwachstellen laut dem Bericht in der Vergangenheit immer wieder in Ransomware-Angriffen und Cyberspionage-Kampagnen missbraucht wurden. Zudem gab es zuletzt weitere sicherheitsrelevante Fortinet-Fixes, darunter eine weitere kritische FortiSandbox-Lücke sowie eine bereits aktiv ausgenutzte Schwachstelle in FortiClient EMS.

Defused erklärte am Montag, man beobachte in den vergangenen 24 Stunden die Ausnutzung mehrerer Schwachstellen in Fortinet FortiSandbox. Genannt werden CVE-2026-39813, für die es laut Defused zuvor keine dokumentierte Ausnutzung gab, sowie CVE-2026-39808 und CVE-2026-25089. Zu CVE-2026-25089 schrieb das Unternehmen, der beobachtete Exploit sei „vibecoded“ und wahrscheinlich fehlerhaft. Nach eigener Forschung von Defused sei ein funktionierender Exploit für CVE-2026-25089 bislang noch nicht öffentlich bekannt gemacht worden.

Fortinet hatte Sicherheitsupdates für die drei kritischen Lücken CVE-2026-39813, CVE-2026-39808 und CVE-2026-25089 am 14. April veröffentlicht. Der Hersteller beschreibt die Fehler so, dass nicht authentifizierte Bedrohungsakteure darüber ihre Berechtigungen ausweiten und per Remote-Zugriff nicht autorisierten Code ausführen können. Der Angriffsweg beruht demnach auf Command Injection mit geringer Komplexität und ohne erforderliche Benutzerinteraktion.

Zusätzlich hatte Fortinet im April auf eine Schwachstelle mittlerer Schwere hingewiesen, die bereits in freier Wildbahn ausgenutzt werde: CVE-2025-61624. Dabei handelt es sich um eine Path-Traversal-Lücke, über die authentifizierte Angreifer ihre Rechte erweitern können. Für eine erfolgreiche Ausnutzung sind laut Fortinet jedoch hohe Berechtigungen auf den Zielsystemen nötig, was darauf hindeute, dass die Lücke sehr wahrscheinlich mit einem weiteren Sicherheitsproblem verkettet wurde.

BleepingComputer teilte mit, Fortinet kontaktiert zu haben, um die Berichte über aktive Ausnutzung zu bestätigen. Eine unmittelbare Antwort habe zunächst nicht vorgelegen.

Im weiteren Umfeld verweist der Bericht auf weitere aktuelle Fortinet-Fixes. So veröffentlichte Fortinet zuletzt Updates für eine weitere kritische FortiSandbox-Schwachstelle, CVE-2026-26083, die auf ungepatchten Systemen Remotecodeausführung ermöglichen könnte. Bereits im Februar hatte das Unternehmen zudem eine kritische SQL-Injection-Lücke in der Plattform FortiClient Enterprise Management Server (EMS) geschlossen, die unter CVE-2026-21643 geführt wird.

Defused markierte CVE-2026-21643 einen Monat später ebenfalls als aktiv ausgenutzt. Die US-Behörde CISA ordnete am 13. April an, dass Bundesbehörden ihre FortiClient-EMS-Instanzen innerhalb von drei Tagen gegen Angriffe absichern müssen, die auf diese Schwachstelle zielen. Insgesamt verfolgt CISA 26 Fortinet-Schwachstellen, die in den vergangenen Jahren in Angriffen ausgenutzt wurden. 13 davon wurden dem Bericht zufolge von Ransomware-Gruppen missbraucht.

Angreifer nutzen mehrere kritische Schwachstellen in Fortinet FortiSandbox aus

Ähnliche Artikel

Neueste Artikel