針對企業網路安全設備的攻擊近期頻繁發生,尤其是 Fortinet 的產品線。近期威脅情報公司 Defused Cyber 發現,攻擊者正積極利用 FortiSandbox 中的三個嚴重漏洞進行攻擊。對於維運工程師來說,理解這些漏洞的技術本質,比單純更新版本更能幫助我們建立防禦意識。
首先我們需要了解 FortiSandbox 的角色。它是一個沙箱環境,主要用途是將可疑檔案在隔離的虛擬空間中執行,觀察其行為是否具有惡意,從而避免威脅進入正式生產環境。由於它必須處理大量外部傳入的未知檔案與請求,因此其 API 與 Web 介面成了攻擊者的首要目標。
這次被利用的漏洞中,首先是 CVE-2026-39813,這是一個路徑穿越(Path Traversal)漏洞。簡單來說,路徑穿越是指攻擊者透過在請求中加入特定的字元(例如 ../),欺騙伺服器跳出預設的資料夾限制,去讀取系統中不應該被公開的敏感檔案。在 FortiSandbox 的 JRPC API 中,這個漏洞讓未經身分驗證的攻擊者能直接繞過認證機制,獲取系統權限。
接著是更危險的指令注入(Command Injection)漏洞),包含 CVE-2026-39808 與 CVE-2026-25089。指令注入是指程式在處理使用者輸入時,沒有對特殊符號進行適當的過濾或轉義,導致攻擊者能將惡意指令直接傳遞給作業系統執行。這類漏洞的 CVSS 評分高達 9.1,因為它允許攻擊者在不需要帳號密碼的情況下,直接在伺服器上執行任意程式碼,等同於直接奪取系統控制權。
值得關注的是,CVE-2026-25089 的攻擊特徵顯示出 AI 的參與。安全研究人員發現,該漏洞的利用程式(Exploit)有明顯使用 AI 模型生成的痕跡,且目前的攻擊碼並不完美,存在瑕疵。這反映出一個現代資安趨勢:攻擊者開始利用 AI 快速生成漏洞利用代碼,雖然目前產出的品質可能不穩定,但這大幅降低了攻擊的門檻並提升了嘗試速度。
從實務維運的角度來看,這類漏洞的影響極其深遠。一旦沙箱設備被攻破,攻擊者不僅能監控進入企業的流量,甚至能將沙箱作為跳板,進一步滲透到內網的其他伺服器。
針對此類威脅,建議工程師採取以下行動。第一,立即檢查 FortiSandbox 的版本,確保已安裝 2026 年 4 月以及最近一週發布的更新補丁。第二,審視對外開放的 API 介面,盡量限制僅允許受信任的 IP 存取,減少攻擊面。第三,監控系統日誌中是否有異常的 HTTP 請求,尤其是包含路徑跳轉符號或系統指令字眼的請求。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。