Fortinet FortiSandbox 的网页管理界面中被发现存在一个无需认证即可利用的 OS 命令注入安全漏洞。根据 Fortinet CNA 记录,该漏洞的 CVSS 评分为 9.8,而 PSIRT 公告中列出的评分为 9.1;目前 NVD 尚未发布独立评估分数。尽管 2026 年 6 月中旬尚未出现公开报告的在野利用案例,但 CISA 已于 7 月 16 日将 CVE-2026-25089 纳入已知被利用漏洞目录(KEV),并要求 FCEB 机构在 7 月 19 日前完成修复。这已经是两个月内第三个在野外被积极利用的 FortiSandbox 漏洞。
漏洞详情
CVE-2026-25089(CWE-78:OS 命令中使用的特殊元素未恰当中和)属于 FortiSandbox 网页 UI 中的 OS 命令注入漏洞。根据安全报告,该漏洞影响“启动 VNC”功能——攻击者能够通过 HTTP 请求中的 JSON 载荷向该端点注入 shell 元字符。该漏洞利用无需认证,无需用户交互,且攻击复杂度极低。
- CVSS:9.8 严重(A V:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)——Fortinet CNA 记录;Fortinet PSIRT 公告列出 9.1;NVD 尚未发布独立评估。
- CWE:CWE-78(OS 命令注入)
- 影响版本:FortiSandbox 4.2.x(所有版本),4.4.0–4.4.8,5.0.0–5.0.5;FortiSandbox Cloud 5.0.4–5.0.5;FortiSandbox PaaS 5.0.4–5.0.5
- 修复版本:FortiSandbox 4.4.9+,5.0.6+;Cloud/PaaS 5.0.6+;CNA 记录将 4.2 列为受影响,但 Fortinet 的公告未提供 4.2 的修复方案——请联系 Fortinet 获取迁移指导。
- 在野利用:自 2026 年 6 月中旬起确认已遭积极利用——CISA KEV 于 2026 年 7 月 16 日列入——BOD 26-04 截止日期为 2026 年 7 月 19 日(针对 FCEB 机构)
- 公告:Fortinet PSIRT FG-IR-26-141
相关的 FortiSandbox 在野利用活动
CVE-2026-25089 是 2026 年第三个被在野利用的 FortiSandbox 漏洞。2026 年 4 月修复了两个相关漏洞,到 6 月中旬已发现它们被积极利用:
- CVE-2026-39808——OS 命令注入(CNA CVSS 9.8;PSIRT 9.1),无需认证即可实现远程代码执行。KEVIntel 在 6 月 12 日监测到相关利用活动。
- CVE-2026-39813——路径遍历导致认证绕过(CNA CVSS 9.8;PSIRT 9.1)。6 月 15 日被 Defused 公司发现正在被利用。
威胁情报公司 Defused 在其蜜罐中检测到了所有三个 CVE 的利用尝试。FortiSandbox 属于高价值攻击目标,因为它与 Fortinet 产品体系深度集成——FortiGate、FortiMail、FortiWeb、FortiProxy 均会依赖其威胁判定来执行阻断决策并触发自动响应。由于这些产品基于 FortiSandbox 的检测结果,响应团队应当仔细审查相关的集成工作流,检查是否存在意外的判定、签名或配置变更。
排查工作流
FortiSandbox 设备通常部署在防火墙后面的内部网络中,但其网页管理界面往往可以从管理 VLAN 访问,某些部署场景中甚至可以直接从互联网访问。因此,第一步是准确发现暴露的资产。
1. 端口扫描:寻找 FortiSandbox 设备
FortiSandbox 使用标准端口提供网页 UI 和服务。管理网页界面——CVE-2026-25089 的入口——是首要关注目标:
- 443——HTTPS 网页 UI(管理界面——漏洞所在位置)
- 80——HTTP 网页 UI(如果未启用 HTTP 重定向)
- 22——SSH 管理
- 514——OFTP(从其他 Fortinet 产品接收文件/URL/流量样本)
2. HTTP 响应头:识别 FortiSandbox 界面
FortiSandbox 设备在管理界面上会返回可识别的 HTTP 响应特征:
- HTML 标题中包含“FortiSandbox”
- HTTP 头中引用 Fortinet 或 FortiSandbox
- 登录页面带有 Fortinet 品牌和 FortiSandbox 产品名称
- Server 头可能标识为 Fortinet Web 服务器
3. TLS 证书检查:查看证书
在 443 端口拉取 TLS 证书。重点关注以下特征:
- 主题 CN 或 SAN 中包含“FortiSandbox”或“Fortisandbox”
- 来自 Fortinet 的默认自签名证书(初始部署时较为常见)
- 组织字段中引用 Fortinet
4. DNS:发现 Fortinet 基础设施
查询常见的 FortiSandbox 命名模式:sandbox.*、fortisandbox.*、fsb.*、fsa.*。FortiSandbox 设备在内部 DNS 中通常被赋予描述性的主机名。
5. CVE 调查:跟踪所有三个漏洞
同时检查 CVE-2026-25089、CVE-2026-39808 和 CVE-2026-39813。这三个漏洞均已在野外被用于攻击 FortiSandbox。请逐一确认每个漏洞的适用性。FortiSandbox 4.4.9+ 版本修复了 4.4 分支上的全部三个漏洞;5.0.6+ 版本修复了 5.0 分支上适用的漏洞。需要注意的是,CVE-2026-39808 不影响 5.0 版本。
注意:上述指纹识别方法属于启发式方式——它们可以帮助识别可能是 FortiSandbox 的设备,但无法确认补丁级别。FortiSandbox 不会在 HTTP 头中披露固件版本。要验证已安装的版本,请登录管理 UI 并检查 System > Dashboard。
与外部数据交叉关联
- SHODAN:搜索 http.title:"FortiSandbox" 或 ssl:"FortiSandbox" 查找互联网暴露实例
- CVE LookUP:CVE-2026-25089、CVE-2026-39808、CVE-2026-39813 的利用披露
- CISA KEV:CVE-2026-25089 于 2026 年 7 月 16 日列入——BOD 26-04 截止日期 2026 年 7 月 19 日(针对 FCEB 机构)
- Fortinet:FG-IR-26-141
补救措施
- 立即打补丁。将 FortiSandbox 升级到 4.4.9+ 或 5.0.6+。云和 PaaS 部署应升级到 5.0.6+。CNA 记录将 4.2 列为受影响,但 Fortinet 的公告未提供 4.2 的修复方案——请联系 Fortinet 获取受支持的迁移或缓解指导。如果无法立即打补丁,建议将管理界面与不可信网络隔离,并限制仅允许指定管理主机访问。
- 补上相关 CVE。CVE-2026-39808 和 CVE-2026-39813 已于 2026 年 4 月修复,但尚未收到 4 月更新的系统可能仍存在风险。请检查你的 FortiSandbox 设备是否已针对所有三个被积极利用的漏洞完成修补。
- 限制管理界面访问。网页 UI(443 端口)不应暴露在互联网上。建议将其限制在专用管理 VLAN 内,或通过跳板机配合 MFA 访问。这样能有效削减所有三个 CVE 的攻击面。
- 审计 Fortinet 产品集成。FortiSandbox 为 FortiGate、FortiMail、FortiWeb 和 FortiProxy 提供威胁判定。一个被攻陷的沙箱可能会影响下游判定的准确性。请仔细审查集成日志,排查是否存在意外的判定变更或配置改动。
- 开展入侵排查。Fortinet 未发布该漏洞的确认 IOCs。作为通用排查指南:建议审查网页 UI 访问日志中针对 VNC 相关端点的异常请求;同时留意非预期的出站连接、新用户账户或系统配置修改。
- 监控后续活动。FortiSandbox 处理恶意软件样本,并可以访问从整个网络提交的文件。被攻陷的设备可能导致样本数据、网络拓扑以及其他 Fortinet 产品的集成凭据泄露。
