Descoberta e escopo da ameaça
Atuantes maliciosos estão explorando ativamente múltiplas vulnerabilidades críticas na plataforma Fortinet FortiSandbox, com telemetria de ataques ao vivo confirmando tentativas de exploração nas últimas 24 horas. A organização de segurança Defused identificou três CVEs sob alvo ativo, incluindo o CVE-2026-39813, que não possuía histórico de exploração registrado anteriormente. Sensores honeypot e infraestrutura de engano disfarçada de instâncias FortiSandbox capturaram tentativas de exploração em três vulnerabilidades distintas, todas acionadas pela porta 443 através de solicitações POST manipuladas para o endpoint /jsonrpc/ da API.
Essa descoberta representa um risco operacional imediato para organizações que utilizam soluções de sandboxing da Fortinet para análise de malware. A natureza não autenticada das explorações significa que interfaces de gerenciamento expostas na internet podem ser comprometidas sem credenciais prévias, permitindo que atacantes assumam o controle total do sistema de análise.
Detalhes técnicos das vulnerabilidades
O CVE-2026-39813 é uma vulnerabilidade de travessia de caminho (CWE-24) na API JRPC do FortiSandbox que permite a um atacante remoto não autenticado burlar a autenticação através de solicitações HTTP especialmente elaboradas. Ao injetar sequências de travessia como session: "../../tmp/" na API, os atacantes podem acessar dados sensíveis do sistema, incluindo backups de configuração, números de série e detalhes de versão, sem qualquer credencial. Este CVE não possui exploração registrada anteriormente na natureza, tornando este cluster de ataques observados um evento inédito.
O CVE-2026-39808 é uma falha de injeção de comando do sistema operacional (CWE-78) em um endpoint da API do FortiSandbox que permite a atacantes não autenticados executar comandos arbitrários como root. Um proof-of-concept (PoC) de exploração pública está disponível desde abril de 2026, weaponizando o parâmetro GET jid através de comandos Unix encadeados por pipe. Payloads de ataque consistentes com este PoC foram observados em tentativas de exploração ao vivo.
O CVE-2026-25089 é uma segunda vulnerabilidade de injeção de comando do sistema operacional (CWE-78) que afeta a interface web do FortiSandbox nas versões 5.0.0–5.0.5, 4.4.0–4.4.8, 4.2 todas as versões, e implantações FortiSandbox Cloud/PaaS. Notavelmente, nenhum exploit público funcional foi divulgado para este CVE. As tentativas de exploração observadas parecem ser "vibecoded", ou seja, provavelmente exploits gerados por IA ou heuristicamente com lógica defeituosa, sugerindo que atores oportunistas estão sondando sem um payload validado.
Impacto e alcance operacional
Um FortiSandbox comprometido pode ser weaponizado para aprovar arquivos maliciosos como limpos para produtos Fortinet dependentes ou servir como um pivô de movimento lateral dentro de redes empresariais. O IP do atacante foi observado em exploração ativa 141.11.43.175, atribuído ao AS136510 Streamline Servers Pty Ltd (Singapura) e carrega uma pontuação de ameaça de alto interesse.
A tabela abaixo resume as versões afetadas e as correções necessárias:
| CVE | Versões Afetadas | Versão Corrigida |
|---|---|---|
| CVE-2026-39813 | FortiSandbox 4.4.0–4.4.8, 5.0.0–5.0.5 | 4.4.9, 5.0.6+ |
| CVE-2026-39808 | FortiSandbox 4.4.0–4.4.8 | 4.4.9+ |
| CVE-2026-25089 | FortiSandbox 4.2 todas as versões, 4.4.0–4.4.8, 5.0.0–5.0.5; Cloud/PaaS 5.0.4–5.0.5 | 4.4.9, 5.0.6+ |
Todas as três CVEs podem ser acionadas sem autenticação através de uma única solicitação HTTP, o que significa que interfaces de gerenciamento do FortiSandbox expostas requerem acesso prévio zero para exploração.
Indicadores de Comprometimento (IOCs)
Os seguintes indicadores foram identificados e devem ser bloqueados imediatamente nos firewalls e sistemas de detecção:
- IP do Atacante:
141.11.43.175 - ASN: AS136510 (Streamline Servers Pty Ltd, SG)
- Porta Alvo: 443 (HTTPS/JRPC API)
- Endpoint Alvo:
/jsonrpc/(Caminho da API FortiSandbox) - User-Agent:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/149.0.0.0 Safari/537.36
Medidas de mitigação recomendadas
Para CISOs e equipes de SOC, as seguintes ações devem ser tomadas imediatamente:
- Isolamento de Rede: Certifique-se de que as instâncias do FortiSandbox não sejam expostas diretamente à internet pública. O acesso deve ser restrito a redes de gerenciamento internas ou através de gateways seguros.
- Atualização de Versão: Aplique as correções de segurança mais recentes (4.4.9, 5.0.6+) imediatamente. Se a atualização não for possível, implemente regras de firewall para bloquear o tráfego de entrada para o endpoint
/jsonrpc/de fontes não confiáveis. - Monitoramento de Tráfego: Implemente regras de detecção para tráfego HTTP POST contendo sequências de travessia de caminho ou parâmetros
jidsuspeitos no endpoint da API. - Revisão de Logs: Analise os logs de acesso da API para identificar tentativas de exploração passadas, especialmente de IPs associados ao ASN AS136510.
Conclusão e implicações para governança
A exploração ativa destas vulnerabilidades no FortiSandbox destaca a importância crítica de manter a superfície de ataque de ferramentas de segurança reduzida. A capacidade de um atacante comprometer um sistema de análise de malware para aprovar arquivos maliciosos representa um risco de cadeia de suprimentos de segurança. A Fortinet deve emitir um aviso de segurança formal e fornecer patches prioritários. Organizações que dependem desta plataforma devem tratar este incidente como de alta prioridade, dado o potencial de comprometimento de todo o ecossistema de segurança baseado em Fortinet.
O que os CISOs devem fazer agora
Verifique a exposição de suas instâncias do FortiSandbox. Se expostas, isole-as imediatamente. Aplique patches. Monitore tráfego para os IOCs listados. Considere a desativação temporária de serviços não essenciais até que a mitigação seja confirmada.