Im Mittelpunkt der Warnung stehen die Schwachstellen CVE-2026-39808 und CVE-2026-25089 in der Bedrohungserkennungsplattform Fortinet FortiSandbox. Fortinet hatte beide Fehler bereits mit Sicherheitsupdates behoben, die am 14. April und 9. Juni veröffentlicht wurden. Laut den damaligen Herstellerhinweisen ermöglicht eine erfolgreiche Ausnutzung nicht authentifizierten Angreifern die Ausführung nicht autorisierten Codes aus der Ferne.

Der Angriffsweg ist nach Fortinets Beschreibung eine Command-Injection mit geringer Komplexität, die keine Benutzerinteraktion voraussetzt. Um die Probleme zu beseitigen und eingehende Angriffe zu blockieren, sollen Administratoren alle betroffenen Installationen auf die neuesten verfügbaren Versionen aktualisieren.

Auffällig ist, dass Fortinet die beiden Lücken bislang selbst nicht als in Angriffen genutzt gekennzeichnet hat. Auf Anfragen von BleepingComputer zur Ausnutzung in freier Wildbahn hatte das Unternehmen dem Bericht zufolge zunächst nicht geantwortet. Bereits am 16. Juni meldete jedoch das Threat-Intelligence-Unternehmen Defused, dass Angreifer begonnen hätten, die Schwachstellen auszunutzen.

Defused erklärte, man beobachte in den vergangenen 24 Stunden die Ausnutzung mehrerer Schwachstellen in Fortinet FortiSandbox, darunter CVE-2026-39813, für die es zuvor keine dokumentierte Ausnutzung gegeben habe, sowie CVE-2026-39808 und CVE-2026-25089. Zu CVE-2026-25089 merkte Defused an, der Exploit wirke „zusammengeschustert“ und sei wahrscheinlich fehlerhaft.

CISA bestätigte am Donnerstag dann ebenfalls, dass die Schwachstellen aktiv ausgenutzt werden, und nahm sie in den Katalog bekannter ausgenutzter Sicherheitslücken auf. Aufgrund der Binding Operational Directive 26-04 müssen US-Bundesbehörden anfällige FortiSandbox-Systeme bis Sonntag, 19. Juli, absichern.

Der aktuelle Fall reiht sich in eine Serie weiterer Fortinet-Probleme ein, die zuletzt mit Angriffen in Verbindung gebracht wurden. Im Februar schloss Fortinet die kritische SQL-Injection-Schwachstelle CVE-2026-21643 in der Plattform FortiClient Enterprise Management Server (EMS). Defused kennzeichnete sie einen Monat später als aktiv ausgenutzt.

Zwei Monate danach veröffentlichte das Unternehmen außerdem ein Update für eine weitere in Angriffen missbrauchte Schwachstelle: die Path-Traversal-Lücke CVE-2025-61624. Sie kann authentifizierten Angreifern eine Rechteausweitung ermöglichen.

Nach Angaben im Bericht werden Fortinet-Schwachstellen häufig in Kampagnen der Cyberspionage und bei Ransomware-Angriffen ausgenutzt, oft als Zero-Day. Insgesamt führt CISA 28 Fortinet-Schwachstellen, die in den vergangenen Jahren in Angriffen missbraucht wurden. 13 davon wurden demnach auch bei Ransomware-Angriffen verwendet.