Das Tool, das Sie zum Erkennen von Malware gekauft haben, wird jetzt als Einstiegspunkt genutzt.

Das Tool, das Sie zum Erkennen von Malware gekauft haben, wird jetzt als Einstiegspunkt genutzt. Angreifer begannen am 15. Juni, Fortinet FortiSandbox auszunutzen – sechs Wochen nach der Veröffentlichung der Patches.

Drei kritische Schwachstellen. Alle drei aktiv ausgenutzt.

FortiSandbox ist Enterprise-Malware-Analyse-Infrastruktur. Sie senden verdächtige Dateien dorthin. Es detoniert sie isoliert. Es informiert Ihr SOC über die Ergebnisse. Es hat erhöhten Netzwerkzugang zu sowohl sauberen als auch Quarantäne-Umgebungen.

Das eigentliche Problem: CVE-2026-39813 (CVSS 9.1) erfordert keine Zugangsdaten. Ein Angreifer, der Port 443 erreichen kann – fast immer zugänglich – sendet eine präparierte POST-Anfrage an die JRPC-API und injiziert Path-Traversal-Sequenzen. Ergebnis: vollständiger Zugriff auf Konfigurations-Backups, Seriennummern, Versionsdaten und administrative Zugangsdaten. Das gibt einem Angreifer, der Ihre FortiSandbox erreichen kann, Zugang zu allen anderen Fortinet-Geräten, die dieselben Zugangsdaten verwenden.

Aktualisieren Sie FortiSandbox auf die gepatchte Version sofort. Beschränken Sie Port-443-Zugang zur Management-Schnittstelle auf verwaltete IPs. Rotieren Sie alle admin-Zugangsdaten auf verbundenen Fortinet-Geräten. Prüfen Sie FortiSandbox-Logs auf verdächtige JRPC-API-Aufrufe seit dem 15. Juni.