Negli ultimi giorni sono stati osservati attacchi informatici che sfruttano tre vulnerabilità critiche in Fortinet FortiSandbox, una piattaforma usata per l’analisi e il contenimento di file sospetti in ambienti aziendali. Il rischio è particolarmente elevato per le istanze esposte su internet, perché le falle consentono scenari di bypass dell’autenticazione ed esecuzione di comandi da remoto tramite richieste HTTP appositamente costruite.
Per chi gestisce infrastrutture di sicurezza, questo tipo di exploit rappresenta un problema serio, dato che FortiSandbox spesso si trova in posizioni strategiche della rete.
Le vulnerabilità coinvolte includono CVE-2026-39813 e CVE-2026-39808, entrambe con punteggio CVSS 9.1. La prima è una path traversal nella JRPC API che può permettere a un attaccante non autenticato di aggirare i controlli di accesso. La seconda è una command injection a livello di sistema operativo che può portare all’esecuzione di codice o comandi non autorizzati, sempre senza autenticazione e attraverso richieste HTTP manipolate. Queste due falle risultano corrette con aggiornamenti rilasciati ad aprile 2026, ma i tentativi di sfruttamento indicano che molte organizzazioni potrebbero non aver applicato le patch in modo tempestivo.
La terza vulnerabilità, CVE-2026-25089, anch’essa con CVSS 9.1, è stata corretta solo di recente e riguarda una command injection che impatta FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS nella Web UI. Anche in questo caso, un attaccante non autenticato può tentare di eseguire comandi tramite richieste HTTP specificamente costruite. È stato inoltre notato che un exploit associato mostra segnali di sviluppo assistito da intelligenza artificiale, ma con difetti che potrebbero limitarne l’affidabilità, mentre un exploit pienamente funzionante non risulta divulgato pubblicamente.
Il contesto più ampio conferma come i dispositivi Fortinet siano spesso presi di mira. Campagne su larga scala contro firewall e gateway VPN possono includere riuso di credenziali già esposte, brute force automatizzato e raccolta passiva di ulteriori credenziali intercettando traffico di autenticazione. In questi scenari, anche password complesse diventano inefficaci se recuperate in chiaro o riutilizzate. Per ridurre l’esposizione è fondamentale aggiornare FortiSandbox e componenti correlati, limitare l’esposizione delle interfacce di gestione, ruotare regolarmente le credenziali e attivare la multi-factor authentication dove possibile.