Angriffe auf frisch gepatchte FortiSandbox-Lücken und 30.000 kompromittierte Fortinet-Firewalls entdeckt

Defused zufolge werden drei Fortinet-FortiSandbox-Schwachstellen derzeit in freier Wildbahn attackiert. Die Honeypots des Unternehmens sahen Ausnutzungsversuche für CVE-2026-39808, CVE-2026-39813 und CVE-2026-25089. Fortinet hatte CVE-2026-39813 und CVE-2026-39808 im April gepatcht und beide als kritisch bewertet.

Bei CVE-2026-39813 handelt es sich um eine Schwachstelle zur Umgehung der Authentifizierung. CVE-2026-39808 ist laut Quelle eine OS-Command-Injection, die sich zur Ausführung beliebigen Codes oder beliebiger Befehle missbrauchen lässt. CVE-2026-25089 wurde von Fortinet mit den Patch-Tuesday-Updates vom Juni 2026 geschlossen; die Lücke erlaubt einem entfernten Angreifer ohne Authentifizierung, beliebige Befehle auf verwundbaren Appliances auszuführen.

Die Ausnutzung von CVE-2026-39808 wurde am 12. Juni zusätzlich unabhängig von KEVIntel beobachtet. Sowohl Defused als auch KEVIntel meldeten Angriffe auf CVE-2026-39813 am 15. Juni. Zu CVE-2026-25089 erklärte Defused, der Exploit sehe so aus, als sei er mit Künstlicher Intelligenz erstellt worden; bei der ersten Beobachtung durch das Unternehmen habe er noch nicht funktioniert.

Defused registrierte zuletzt außerdem Ausnutzungsversuche gegen zwei Schwachstellen in Fortinet FortiClient EMS, die unter CVE-2026-21643 und CVE-2026-35616 geführt werden. Weitere technische Details zu diesen beiden Lücken nennt der Quelltext nicht.

Unabhängig davon hat SOCRadar nach eigenen Angaben mehr als 30.000 kompromittierte Fortinet-Firewalls identifiziert. Die Kampagne, die das Sicherheitsunternehmen FortiBleed nennt, setze Unternehmensnetze dem Hacking aus. Laut SOCRadar hackt ein Bedrohungsakteur systematisch Fortinet-Firewalls und VPN-Gateways und erstellt eine Datenbank verifizierter Zugangsdaten, die für den Zugriff auf diese Systeme genutzt werden können.

Die kompromittierten Systeme gehören laut SOCRadar Unternehmen und Regierungsorganisationen in mehr als 190 Ländern. Viele der Geräte stehen demnach in Indien und den Vereinigten Staaten. SOCRadar beschreibt das Vorgehen so: Die Angreifer scannen das Internet nach Fortinet-Geräten, probieren gegen jedes System eine kuratierte Liste bekannter Passwörter aus und protokollieren jeden erfolgreichen Login.

Ist ein Gerät kompromittiert, werde es als Horchposten genutzt, um den durchlaufenden Verkehr zu überwachen und weitere Zugangsdaten abzugreifen. Diese neu erbeuteten Passwörter flössen anschließend zurück in den Scanner, um noch mehr Geräte zu kompromittieren. Nach Angaben von SOCRadar ließ der Bedrohungsakteur seinen Server offen zugänglich, wodurch Forscher Daten über die Infrastruktur und die Ziele der Kampagne sammeln konnten.

Unter den geborgenen Daten befanden sich laut SOCRadar auch Zugangsdaten für einen offenbar zur Rüstungsindustrie gehörenden VPN-Endpunkt. Das deute darauf hin, dass die Ambitionen der Gruppe über rein finanzielle Ziele hinausreichen könnten. Einer bekannten Bedrohungsgruppe ordnet SOCRadar den Angriff bislang nicht zu, hält die Hacker aber für wahrscheinlich russischsprachig.