Во вторник обновлений (Patch Tuesday) компания Fortinet выпустила пакет исправлений для своих продуктов, включая две критические уязвимости, которые могут привести к удаленному выполнению кода. Уязвимости Fortinet, как нулевого дня, так и уже известные (n-day), неоднократно использовались в реальных атаках в прошлом, поэтому компаниям следует как можно скорее внедрить исправления.
«Уязвимости Fortinet часто привлекательны для злоумышленников, поскольку эти продукты занимают позиции в функциях безопасности с высоким уровнем доверия, на которые часто нацелены атакующие», — сообщил Пиюш Шарма, генеральный директор и соучредитель компании SecOps Tuskira, в электронном письме изданию CSO. «Когда уязвимость затрагивает инструмент, который уже обладает привилегированной видимостью или находится близко к критически важным системам, ее эксплуатация может дать атакующим гораздо более значительное преимущество, чем уязвимость в обычном приложении».
Уязвимость в FortiAuthenticator, отслеживаемая как CVE-2026-44277, имеет оценку критичности по CVSS 9.1 и описывается как проблема некорректного контроля доступа. Успешная эксплуатация позволяет неаутентифицированным злоумышленникам выполнять несанкционированный код и команды путем отправки специально сформированных запросов.
FortiAuthenticator, являясь решением для управления идентификацией и доступом (IAM), служит центральным узлом для аутентификации по протоколам RADIUS, LDAP и SAML. Он интегрируется с Active Directory и поддерживает единый вход (single sign-on) и многофакторную аутентификацию. Для устранения этой новой уязвимости компаниям рекомендуется обновиться до версий FortiAuthenticator 6.5.7, 6.6.9 или 8.0.3, в зависимости от используемого релиза.
Уязвимость в FortiSandbox представляет собой проблему отсутствия авторизации, которая аналогичным образом позволяет неаутентифицированным злоумышленникам выполнять произвольный код и команды через HTTP-запросы. Уязвимость, отслеживаемая как CVE-2026-26083, также имеет оценку критичности 9.1.
FortiSandbox — это решение для обнаружения угроз, предназначенное для выявления угроз нулевого дня с использованием машинного обучения для статического и динамического анализа подозрительных файлов в изолированной среде. Оно интегрируется с другими продуктами безопасности Fortinet, такими как FortiGate и FortiMail, и поставляется в различных вариантах, включая аппаратные и виртуальные устройства.
Уязвимость затрагивает все поддерживаемые версии FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS. Пользователям рекомендуется обновиться до версии 4.4.9 или 5.0.2, в зависимости от релиза.
CVE-2026-26083 и CVE-2026-44277 были обнаружены внутри компании Fortinet, поэтому пока нет свидетельств их использования в реальных атаках. Однако эксплойты для других уязвимостей RCE Fortinet в прошлом использовались злоумышленниками.
Например, CVE-2026-21643, уязвимость SQL-инъекции в FortiClient Endpoint Management Server (EMS), обнаруженная внутри Fortinet и исправленная в феврале, в итоге была использована в реальных атаках месяц спустя. За этим в прошлом месяце последовала эксплуатация другой уязвимости FortiClient EMS, на этот раз нулевого дня.
Помимо двух критических уязвимостей, Fortinet выпустила исправления для уязвимостей высокой и средней степени критичности в ряде продуктов: уязвимость записи за пределами буфера в FortiOS, которая может привести к RCE (CVE-2025-53844), уязвимость внедрения команд ОС в FortiAP и FortiAP-W2 (CVE-2025-53870), ведущая к повышению привилегий, и отдельная уязвимость внедрения команд ОС в FortiAP, FortiAP-U и FortiAP-W2 (CVE-2025-53680), которая может привести к RCE.
Эксплуатация этих уязвимостей требует аутентификации, поэтому они не классифицируются как критические, однако компрометация корпоративных учетных данных не является редкостью, поэтому к ним следует относиться с не меньшей срочностью.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
