اگر مدیریت یک شبکه سازمانی هستید و از محصولات فورتینت استفاده میکنید، همین حالا باید وضعیت دسترسی به رابط مدیریتی سندباکس خود را چک کنید. یک نقص امنیتی بحرانی در حال سوءاستفاده فعال است و میتواند کل زیرساخت امنیتی شما را به دست مهاجم بیندازد.
این آسیبپذیری که با کد CVE-2026-25089 شناخته میشود، یک نقص از نوع تزریق دستورات سیستمعامل (OS Command Injection) است. این مورد تحت طبقهبندی CWE-78 (خنثیسازی نادرست عناصر خاص مورد استفاده در دستورات OS) قرار میگیرد. طبق اعلام شرکت Fortinet در سوابق CNA، این حفره دارای امتیاز بحرانی ۹.۸ است، هرچند در اطلاعیه PSIRT شرکت، این عدد ۹.۱ ذکر شده است. لازم به ذکر است که مرکز ملی آسیبپذیریهای آمریکا (NVD) هنوز امتیاز مستقلی برای این نقص صادر نکرده است. بر اساس مستندات فنی، مهاجمان میتوانند از طریق رابط وب FortiSandbox، دستورات دلخواه خود را بدون نیاز به نام کاربری یا رمز عبور اجرا کنند.
این اتفاق یک مورد تکگیر نیست. همانطور که در تحلیل قبلی ما دربارهی امنیت مدلهای بازمتن و زیرساختهای ابری اشاره کردیم، تمرکز مهاجمان بر نقاط مرکزی تجمع دادههاست. این مورد، سومین آسیبپذیری شناسایی شده در FortiSandbox طی سال ۲۰۲۶ است که در دنیای واقعی مورد بهرهبرداری قرار گرفته است. دو نقص دیگر یعنی CVE-2026-39808 و CVE-2026-39813 نیز در آوریل ۲۰۲۶ وصله شدند، اما طبق گزارشهای KEVIntel و Defused، تا اواسط ژوئن دوباره توسط هکرها مورد بهرهبرداری قرار گرفتند. بهطور مشخص، CVE-2026-39808 یک RCE بدون نیاز به احراز هویت (با امتیاز CNA CVSS 9.8) است که در ۱۲ ژوئن مشاهده شد. همچنین CVE-2026-39813 یک نقص پیمایش مسیر (Path Traversal) است که منجر به دور زدن احراز هویت میشود (با امتیاز CNA CVSS 9.8) و در ۱۵ ژوئن شناسایی شد. این الگو نشان میدهد که بازیگران تهدید بهطور هدفمند، نقش سندباکس را به عنوان مرکز هوش مرکزی برای سایر محصولات فورتینت هدف قرار دادهاند. برای مدیریت بهینه چنین آسیبپذیریهایی، استفاده از سیستمهای اتوماسیون برای شناسایی و وصله کردن سریع CVEها میتواند ریسک بازگشت مهاجمان به حفرههای قدیمی را کاهش دهد.
به گزارش وبسایت hellorecon.com، ریشهٔ این مشکل در قابلیت «Start VNC» در رابط کاربری وب نهفته است. مهاجمان میتوانند از طریق ارسال درخواستهای HTTP حاوی دادههای JSON مهندسیشده به این نقطه انتهایی (Endpoint)، کاراکترهای کنترلی شل (Shell Metacharacters) را تزریق کنند. از آنجا که این حمله هیچ نیازی به تعامل کاربر یا احراز هویت ندارد، پیچیدگی حمله بسیار پایین است و دستگاههای در معرض دید، اهدافی آسان هستند. شرکت امنیتی Defused نیز تایید کرده که از طریق استفاده از Honeypotها، تلاشهای متعددی برای سوءاستفاده از هر سه نقص شناسایی شده در سال ۲۰۲۶ را رصد کرده است.
نسخهها و راهکارهای اصلاحی
برای رفع این مشکل، کاربران باید فوراً به نسخههای زیر بهروزرسانی کنند:
- FortiSandbox 4.4.9+ یا 5.0.6+
- FortiSandbox Cloud/PaaS 5.0.6+
جزئیات نسخههای آسیبپذیر شامل سری 4.2.x (تمام نسخهها)، نسخههای 4.4.0 تا 4.4.8 و 5.0.0 تا 5.0.5 است. همچنین نسخههای 5.0.4 تا 5.0.5 در FortiSandbox Cloud و PaaS تحت تأثیر هستند. نکته مهم این است که برای کاربرانی که از شاخه 4.2 استفاده میکنند، در اطلاعیه FG-IR-26-141 مسیر بهروزرسانی مستقیمی ارائه نشده است. مدیرانی که از این نسخهها استفاده میکنند باید برای دریافت راهنماییهای مربوط به مهاجرت (Migration) با پشتیبانی فورتینت تماس بگیرند.
آژانس امنیت سایبری و زیرساخت آمریکا (CISA) در ۱۶ ژوئیه ۲۰۲۶ این نقص را به فهرست آسیبپذیریهای شناختهشده (KEV) اضافه کرد. طبق دستورالعمل BOD 26-04، ضربالاجل ۱۹ ژوئیه ۲۰۲۶ برای رفع این مشکل در سیستمهای شاخه اجرایی غیرنظامی فدرال (FCEB) تعیین شد.
شناسایی دستگاههای در معرض خطر
اولویت اول شما شناسایی دستگاههای در معرض دید است. اگرچه اکثر واحدهای FortiSandbox پشت دیوارههای آتش قرار دارند، اما رابطهای مدیریتی اغلب به VLANهای مدیریتی یا حتی اینترنت نشت میکنند. برای شناسایی میتوانید از روشهای زیر استفاده کنید:
- اسکن پورتها: بررسی پورت ۴۴۳ (رابط مدیریت HTTPS)، ۸۰ (رابط وب HTTP)، ۲۲ (مدیریت SSH) و ۵۱۴ (پروتکل OFTP برای ارسال فایل، URL یا ترافیک از سوی سایر محصولات فورتینت).
- تحلیل هدرها: جستوجو برای عناوین HTML حاوی عبارت "FortiSandbox"، بررسی هدرهای HTTP که به Fortinet یا FortiSandbox اشاره دارند، یا شناسایی صفحات ورود با برند فورتینت. همچنین هدر سرور میتواند سرور وب فورتینت را شناسایی کند.
- بررسی TLS: چک کردن گواهینامه TLS در پورت ۴۴۳ برای یافتن کلمات "FortiSandbox" یا "fortisandbox" در Subject CN یا SAN. همچنین به دنبال گواهینامههای خودامضای (Self-signed) پیشفرض یا فیلدهای سازمانی که به فورتینت اشاره دارند باشید.
- کشف DNS: جستوجو در DNS داخلی برای الگوهای نامگذاری رایج مانند
sandbox.*،fortisandbox.*،fsb.*یاfsa.*.
به یاد داشته باشید که این روشها مبتنی بر تحلیل اکتشافی (Heuristics) هستند و سطح وصله (Patch Level) را تایید نمیکنند، زیرا FortiSandbox نسخه فریمور خود را در هدرهای HTTP افشا نمیکند. برای تایید نهایی باید وارد رابط مدیریتی شده و مسیر System > Dashboard را چک کنید.
ریسکهای یکپارچگی و بستر حمله
این آسیبپذیری به دلیل نقش محوری FortiSandbox بسیار خطرناک است. این ابزار نتایج تحلیل تهدیدات (Threat Verdicts) را به FortiGate، FortiMail، FortiWeb و FortiProxy ارسال میکند. اگر مهاجم سندباکس را تسخیر کند، میتواند نتایج تحلیلها را دستکاری کند تا محصولات پاییندستی، تصمیمات مسدودسازی را تغییر داده یا پاسخهای خودکار اشتباهی فعال کنند. تیمهای پاسخ به حادثه باید گردشهای کاری (Workflows) متصل را برای یافتن نتایج، امضاها یا تغییرات پیکربندی غیرمنتظره بازبینی کنند.
برای کسانی که نمیتوانند فوراً بهروزرسانی کنند، تنها راهکار موقت و عملی، ایزولهسازی کامل رابط مدیریتی از تمامی شبکههای غیرقابل اعتماد است. شما باید دسترسی به پورت ۴۴۳ را فقط به VLANهای مدیریتی اختصاصی یا Jump Hostهای محافظت شده با احراز هویت دو مرحلهای (MFA) محدود کنید. این اقدام سطح حمله را برای هر سه CVE مورد بهرهبرداری در سال ۲۰۲۶ کاهش میدهد.
شکار اثرات پس از حمله
مدیران شبکه باید همچنین آسیبپذیریهای مرتبط CVE-2026-39808 و CVE-2026-39813 را وصله کنند، زیرا ممکن است در سیستمهایی که بهروزرسانیهای آوریل ۲۰۲۶ را دریافت نکردهاند، همچنان موجود باشند. نسخههای FortiSandbox 4.4.9+ و 5.0.6+ تمامی این نقصها را برطرف میکنند (توجه داشته باشید که CVE-2026-39808 شاخه 5.0 را تحت تأثیر قرار نمیدهد).
از آنجا که فورتینت هنوز شاخصهای تأیید شده Compromise (IOCs) را منتشر نکرده است، مدیران باید عملیات شکار تهدید را به صورت زیر انجام دهند:
- بازبینی لاگهای دسترسی رابط وب برای یافتن درخواستهای غیرعادی به نقاط انتهایی مرتبط با VNC.
- رصد اتصالات خروجی غیرمنتظره یا ایجاد حسابهای کاربری جدید.
- بررسی تغییرات در پیکربندیهای سیستمی.
- ارزیابی احتمال نشت دادههای نمونه (Samples)، توپولوژی شبکه یا اعتبارنامههای یکپارچگی؛ چرا که یک دستگاه تسخیر شده به فایلهای ارسال شده از سراسر شبکه دسترسی دارد.
گام بعدی شما
- بررسی فوری نسخه FortiSandbox و بهروزرسانی به نسخه ۵.۰.۶ یا بالاتر.
- محدود کردن دسترسی به پورت ۴۴۳ فقط برای IPهای مورد اعتماد و استفاده از MFA.
- بازبینی لاگهای دسترسی وب برای یافتن الگوهای تزریق JSON در درخواستهای VNC.
اما ریسکهای زنجیرهای این حمله به محصولات دیگر فورتینت پیچیدهتر است — تحلیل ما درباره معماری Trust-Center در محصولات امنیتی را بخوانید.




گفتگو