Penyerang kini mengeksploitasi beberapa kerentanan kritis dalam platform pendeteksi ancaman siber FortiSandbox milik Fortinet, menurut perusahaan intelijen ancaman Defused.
Fortinet merilis pembaruan keamanan untuk tiga kelemahan keamanan dengan tingkat keparahan kritis ini (dilacak sebagai CVE-2026-39813, CVE-2026-39808Dan CVE-2026-25089) pada tanggal 14 April.
Kelemahan ini memungkinkan pelaku ancaman yang tidak diautentikasi untuk meningkatkan hak istimewa dan mengeksekusi kode tidak sah dari jarak jauh melalui serangan injeksi perintah dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna. Untuk mengatasi masalah ini dan memblokir serangan masuk, admin harus meningkatkan penerapan yang terpengaruh ke versi terbaru yang dirilis.
“Kami mengamati eksploitasi beberapa kerentanan Fortinet FortiSandbox selama 24 jam terakhir, termasuk: CVE-2026-39813 (tidak ada eksploitasi yang tercatat sebelumnya), CVE-2026-39808, CVE-2026-25089 (kode getaran, kemungkinan eksploitasi yang salah),” Defused diperingatkan pada hari Senin. Berdasarkan penelitian kami, eksploitasi yang berfungsi untuk CVE-2026-25089 belum diungkapkan kepada publik.
Pada bulan April, Fortinet juga menandai kerentanan traversal jalur dengan tingkat keparahan sedang (CVE-2025-61624) seperti yang dieksploitasi secara liar, sebuah kelemahan yang memungkinkan penyerang terotentikasi meningkatkan hak istimewanya. Namun, eksploitasi yang berhasil memerlukan hak istimewa yang tinggi pada sistem yang ditargetkan, yang menyiratkan bahwa eksploitasi tersebut kemungkinan besar terkait dengan masalah keamanan lainnya.
BleepingComputer menghubungi Fortinet untuk mengonfirmasi laporan eksploitasi aktif, namun tanggapan tidak segera tersedia.
Kelemahan keamanan Fortinet sering dieksploitasi serangan ransomware (seringkali sebagai bug zero-day) dan seterusnya spionase dunia maya kampanye untuk menembus jaringan target.
Baru-baru ini, Fortinet merilis pembaruan keamanan mengatasi kerentanan kritis lainnya di FortiSandbox (CVE-2026-26083) yang memungkinkan penyerang melakukan eksekusi kode jarak jauh pada sistem yang belum dipatch.
Pada bulan Februari, mereka juga menambal kerentanan injeksi SQL yang kritis (CVE-2026-21643) di platform FortiClient Enterprise Management Server (EMS), yang ditandai dengan Defused sebagai dieksploitasi secara aktif satu bulan kemudian. Badan Keamanan Siber dan Infrastruktur AS (CISA) memerintahkan badan-badan federal pada tanggal 13 April untuk mengamankan instans EMS FortiClient mereka dari serangan yang menargetkan kelemahan CVE-2026-21643 dalam waktu tiga hari.
Secara total, trek CISA 26 Kerentanan Fortinet yang telah dieksploitasi dalam serangan dalam beberapa tahun terakhir, 13 di antaranya disalahgunakan oleh geng ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
