
2026/07/17 7:07
CVE-2026-25089:CISA KEV に無認証コマンドインジェクションの FortiSandbox が追加
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
FortiSandbox は現在、認証もユーザーの操作も不要で悪用可能な、Web インターフェースに存在する致命的な OS コマンド注入脆弱性情報(CVE-2026-25089)に対してさらされています。この脆弱性の CVSS スコアは 9.8 です。米国サイバーセキュリティ・インフォメーション・共有・分析機関(CISA)はこの欠陥を、2026 年 7 月 16 日に「既exploit 脆弱性情報カタログ(KEV)」に登録し、連邦民間執行局の機関に対し、2026 年 7 月 19 日までに是正を義務付けました。悪用は 2026 年中盤以降確認されており、特にこれが 2 ヶ月以内における野でのFortiSandbox 脆弱性情報の悪用の第 3 事例となりました。この欠陥は特定の影響を受ける範囲を持ち、「start VNC」機能に限定され、認証情報なしで JSON ペイロードを介してシェルコマンドへの注入を攻撃者に可能にします。
この脆弱性は広範なバージョンに影響を与えます。具体的には、すべて 4.2.x リリース、および 4.4.0 から 4.4.8 のバージョン(Cloud ブランチおよび PaaS ブランチにも特定の影響を受ける範囲が認められています)を含み、未パッチされた状態ではバージョン 5.0+ も引き続き影響を受けます。PSIRT アドバイザリはスコアを 9.1 とリストしていますが、NVD はまだ独立したスコアを発表しておらず、CNA レコードでは 9.8 と記載されています。この問題は特に危険であり、FortiSandbox が自動化されたセキュリティ判断を駆動するため、侵害された判定は FortiGate、FortiMail、FortiWeb などの統合製品における連鎖的な障害を引き起こす可能性があります。
是正には、直ちにパッチ適用が求められ、FortiSandbox のバージョン 4.4.9 または 5.0.6(対応する高い Cloud/PaaS バージョンを含む)にアップグレードする必要があります。パッチ適用までの間、管理インターフェース(ポート 443)を不信なネットワークから隔離し、アクセスを Multi-Factor Authentication が有効化されたホストのみに対して限定する必要があります。予期しない判定や構成変更を検出するために、統合ログの監査が侵害検知にとって不可欠です。Fortinet 製品に関連するもう 2 つの積極的な悪用 CVE(CVE-2026-39808 および CVE-2026-39813)は 2026 年 4 月にパッチ適用され、CVE-2026-39808 は FortiSandbox 5.0 ブランチに影響しないと示されました。
本文
CVSS 9.8 重大脆弱性:FortiSandbox で認証不要の OS コマンドインジェクションがアクティブに悪用中
🚨 エグゼクティブサマリー
- 脆弱性の概要
- Fortinet の FortiSandbox ウェブインターフェースにおいて、認証不要の OS コマンドインジェクション脆弱性が発見されました。
- 攻撃者は「start VNC」機能を通じて HTTP リクエストに JSON ペイロードを注入し、シェルのメタ文字を実行可能です。
- CVSS スコアと評価
- Fortinet CNA レコード:9.8 (Critical)
- Fortinet PSIRT アドバイザリ:9.1
- NVD(全国脆弱性情報データベース):独立したスコア未発表
- 現状の悪用状況
- Defused による悪用試行:2026 年 7 月中下旬報告。
- CISA KEV リストへの登録日:2026 年 7 月 16 日(CVE-2026-25089)。
- 対応期限
- FCEB システム向け締め切り:2026 年 7 月 19 日(BOD 26-04)。
- 本件は、FortiSandbox 製品における野生的な悪用事例として第 3 号となります。
🔍 脆弱性の詳細
CVE 情報と影響範囲
| アイテム | 詳細内容 |
|---|---|
| CVE ID | CVE-2026-25089 (CWE-78: OS コマンドへの特殊文字の不適切な中和) |
| タイプ | FortiSandbox Web UI の OS コマンドインジェクション |
| ベクトル | 機能のエンドポイント(HTTP リクエスト / JSON ペイロード経由) |
| 要件 | 認証不要、ユーザー関与不要、複雑さは低い |
スコアリング情報
- CVSS v4.0: 9.8 (Critical)
- AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- CISA KEV リスト登録: 2026 年 7 月 16 日
修正バージョン一覧
| コンポーネント | 影響を受けるバージョン | 修正済みバージョン | 備考 |
|---|---|---|---|
| FortiSandbox | 4.2.x (全バージョン), 4.4.0–4.4.8, 5.0.0–5.0.5 | 4.4.9+, 5.0.6+ | CNA では 4.2 が影響範囲にリストされていますが、具体的な是正策は PSIRT アドバイザリに記載されていません。移行ガイダンスは Fortinet へ要相談。 |
| FortiSandbox Cloud | 5.0.4–5.0.5 | 5.0.6+ | |
| FortiSandbox PaaS | 5.0.4–5.0.5 | 5.0.6+ |
⚠️ FortiSandbox 関連の他の悪用活動
CVE-2026-25089 は、野生的に悪用されている FortiSandbox 脆弱性の第 3 号です。以下の 2 つの不具合も同様にアクティブに悪用されています(すべて認証不要 RCE または権限昇格関連)。
- CVE-2026-39808: OS コマンドインジェクション (RCE)
- 観測日:2026 年 6 月 12 日 (KEVIntel による)
- CVSS: CNA 9.8 / PSIRT 9.1
- CVE-2026-39813: パス名トラバサリング(認証回避へつながる)
- 観測日:2026 年 6 月 15 日 (Defused による)
- CVSS: CNA 9.8 / PSIRT 9.1
セキュリティリスク: FortiSandbox は高価値な標的です。FortiGate、FortiMail、FortiWeb、FortiProxy が脅威判定結果を消費しているため、これらの製品への影響(予期せぬ判定や構成変更)を確認してください。
🕵️ 調査ワークフロー
FortiSandbox アプライアンスは通常、内部ネットワーク展開ですが、管理用 VLAN やインターネットからアクセス可能なケースがあります。第 1 ステップは露出インスタンスの特定です。
1. ポートスキャン:FortiSandbox アプライアンスを検出
以下のポートをスキャンしてください(脆弱性が存在する場所はポート 443 です)。
: HTTPS ウェブ UI(管理インターフェース / 脆弱性あり)443
: HTTP ウェブ UI(HTTPS リダイレクトなしの場合)80
: SSH アドミニストレーション22
: OFTP(他の Fortinet 製品とのファイル送受信用)514
2. HTTP ヘッダー:インターフェースの特定
FortiSandbox インスタンスは以下の特徴を返します。
- HTML タイトルに "FortiSandbox" が含まれている。
- HTTP ヘッダーに
またはFortinet
が登場する。FortiSandbox - ログイン画面に Fortinet のブランディングと製品名が表示される。
- サーバーヘッダーで Web サーバーが同定できる。
3. TLS インスペクト:証明書検証
ポート 443 で取得した TLS 証明書の以下の情報を確認してください。
- Subject CN / SAN:
またはFortiSandbox
が含まれているか。fortisandbox - 発行元: Fortinet のデフォルト自己署名証明書ではないか(初期展開常見)。
- Organization 名:
が記載されているか。Fortinet
4. DNS: インフラストラクチャの発見
以下の命名パターンに対する DNS クエリを実行し、記述的なホスト名を検出してください。
sandbox.* fortisandbox.* fsb.* fsa.*
5. CVE 照会:全脆弱性の追跡
以下の CVE について適用範囲を確認してください。
- CVE-2026-25089 (本件の OS コマンドインジェクション)
- CVE-2026-39808 (認証不要 RCE)
- CVE-2026-39813 (パス名トラバサリング)
注記: FortiSandbox 4.4.9+ は 4.4 ブランチ上で全ての脆弱性を対処、5.0.6+ は 5.0 ブランチ上で対処します。HTTP ヘッダーにはファームウェアバージョンが含まれないため、管理 UI の「System > Dashboard」で確認する必要があります。
🔎 外部データクロス参照
- SHODAN:
またはhttp.title:"FortiSandbox"
で検索(露出インスタンス検出)。ssl:"FortiSandbox" - CVE LOOKUP: エクスポイルディスクリージャーの追跡。
- CISA KEV: 登録日 2026/7/16、BOD 締切 2026/7/19。
- Fortinet アドバイザリ ID: FG-IR-26-141
🛠️ 是正措置と推奨事項
【最重要】パッチ適用
即時にアップグレードしてください。
| 環境タイプ | 最小バージョン (修正済み) |
|---|---|
| オンプレミス | 4.4.9+ または 5.0.6+ |
| クラウド/PaaS | 5.0.6+ |
重要事項: CNA レコードでは 4.2 が影響範囲にリストされていますが、Fortinet の PSIRT アドバイザリには 4.2 向けの是正策がありません。移行ガイダンスが必要であれば必ず Fortinet に連絡してください。
🔒 即時の緩和措置(パッチ適用不可の場合)
- ネットワーク分離: 管理インターフェースを不信できるネットワークから隔離し、アクセスを指定された管理用ホストに制限してください。
- 他の CVE も対策: 4 月にパッチ済みの CVE-2026-39808 および CVE-2026-39813 も確認し、適用されていない場合は是正してください。
🔐 セキュリティ強化推奨
- アクセス制限: Web UI (ポート 443) はインターネットに対して開放してはいけません。専用管理 VLAN または MFA(多要素認証) を備えたジャンプホスト経由でのみ許可してください。
- 統合監査: FortiSandbox が提供する脅威判定結果(FortiGate/Mail/Web/Proxy)に、予期せぬ影響がないかログをレビューしてください。
- 侵害検出: 管理 UI アクセスログで「start VNC」関連の異常なリクエストを確認し、外部接続や新しいアカウントの有無をチェックしてください。
- 情報漏洩への警戒: FortiSandbox はサンプルデータにアクセス権限を持ち、ネットワークトポロジや他の製品の認証情報を暴露する可能性があります。
📚 ソース情報
- Fortinet PSIRT: FG-IR-26-141
- NVD: CVE-2026-25089
- CISA: Known Exploited Vulnerabilities Catalog (BOD 26-04)
- Help Net Security: "Attackers Are Exploiting FortiSandbox Vulnerabilities"
- SecurityWeek: "3 FortiSandbox Vulnerabilities in Hacker Crosshairs"
- Arctic Wolf: CVE-2026-25089 Analysis
- Fortinet Documentation: FortiSandbox Port and Access Control Information