Künstliche Intelligenz
Angriffe auf FortiSandbox-Schwachstellen | heise online
Schwachstellen in den IT-Sicherheitsappliances FortiSandbox von Fortinet dienen Angreifern aus dem Netz derzeit als Angriffsziel. Aktualisierungen, um die Sicherheitslücken zu schließen, stehen schon etwas länger bereit.
Weiterlesen nach der Anzeige
Auf X meldet DefusedCyber die beobachteten Angriffe. Gleich drei Schwachstellen in FortiSandbox werden demnach attackiert. Die erste Lücke ermöglicht bösartigen Akteuren, an einer Path-Traversal-Schwachstelle in der JRPC-API von FortiSandbox anzusetzen, um mit sorgsam präparierten HTTP-Anfragen die Authentifizierung zu umgehen (CVE-2026-39813, CVSS 9.1, Risiko „kritisch“). Bereits Mitte April hat Fortinet FortiSandbox 4.4.9 und 5.0.6 veröffentlicht, die das ausbessern.
Ebenfalls unter Beschuss steht eine unzureichende Filterung von Elementen, die in einem Befehl ans Betriebssystem von FortiSandbox verwendet werden, die Angreifern ohne Authentifizierung das Ausführen von nicht autorisiertem Code oder Befehlen mittels manipulierter HTTP-Anfragen ermöglichen (CVE-2026-39808, CVSS 9.1, Risiko „kritisch“). DefusedCyber sieht auch Angriffe auf eine jüngere Sicherheitslücke, die das unbefugte Einschleusen von Befehlen ohne vorherige Authentifizierung mittels manipulierter HTTP-Anfragen ermöglichen, die ans Betriebssystem durchgereicht und dort ausgeführt werden (CVE-2026-25089, CVSS 9.1, Risiko „kritisch“). Die Schwachstelle hat Fortinet in der vergangenen Woche gemeldet, die Versionen mit den Fehlerkorrekturen sind jedoch die gleichen wie aus dem April.
Ausmaß der Angriffe unklar
DefusedCyber bleibt sehr schmallippig und erwähnt lediglich, dass die IT-Forscher nach eigenen Angaben seit dem 14. Juni Angriffe auf diese Schwachstellen beobachten. Ein Screenshot zeigt eine Anfrage auf einen jsonrpc-Endpunkt. Die Fortinet-Advisories bestätigen die Angriffe derzeit noch nicht, sie weisen zum Meldungszeitpunkt „Known Exploited: No“ aus.
Zu den Angriffen auf die jüngere Schwachstelle CVE-2026-25089 schreiben die Autoren noch kurz, dass der Exploit mutmaßlich mittels Vibe Coding entstanden ist, also mit KI-Unterstützung. Er sei deshalb wahrscheinlich fehlerhaft. Einen funktionierenden Exploit für die Lücke hat DefusedCyber demzufolge noch nicht gesehen, es sei noch keiner veröffentlicht worden.
(dmk)