Thought Leadership
Das Sicherheitsunternehmen Defused Cyber meldet die aktive Ausnutzung von drei kritischen Schwachstellen in der Sandbox-Software von Fortinet.
Die Bedrohungsanalyse-Firma Defused Cyber hat Angriffe auf die Sicherheitssoftware Fortinet FortiSandbox dokumentiert. Innerhalb eines kurzen Zeitraums wurden Ausnutzungen von drei verschiedenen Schwachstellen registriert. Diese tragen die Bezeichnungen CVE-2026-39813, CVE-2026-39808 und CVE-2026-25089. Alle drei Sicherheitslücken wurden mit einem hohen Risikowert von 9.1 auf der CVSS-Skala eingestuft.
Bei CVE-2026-39813 handelt es sich um einen Fehler im JRPC-API-Pfad, der es nicht authentifizierten Angreifern erlaubt, die Authentifizierung über manipulierte HTTP-Anfragen zu umgehen. Die zweite Lücke, CVE-2026-39808, basiert auf einer Injektion von Betriebssystembefehlen, über die Schadcode ohne vorherige Anmeldung ausgeführt werden kann. Fortinet hatte für diese beiden Fehler bereits im April 2026 entsprechende Sicherheitsupdates bereitgestellt.
Fehlerhafter KI-Exploit und betroffene Fortinet-Plattformen
Die dritte betroffene Sicherheitslücke, CVE-2026-25089, wurde erst in der vergangenen Woche durch ein Sicherheitsupdate behoben. Dieser Fehler ermöglicht ebenfalls eine Befehlsinjektion im Betriebssystem über die Web-Benutzeroberfläche. Davon betroffen sind neben der lokalen FortiSandbox auch die FortiSandbox Cloud und FortiSandbox PaaS.
Die Analysten von Defused Cyber stellten fest, dass der im Umlauf befindliche Schadcode für diese spezifische Lücke Anzeichen einer Entwicklung durch ein künstliches Intelligenzmodell aufweist. Dieser Exploit ist jedoch fehlerhaft, und eine funktionierende Methode zur Ausnutzung wurde bisher nicht öffentlich publiziert. Fortinet-Produkte stehen regelmäßig im Fokus von Angreifern. Bereits im April 2026 musste der Hersteller ein außerplanmäßiges Update für eine kritische Schwachstelle in FortiClient EMS herausgeben, die ebenfalls aktiv ausgenutzt wurde.
(red)
