Kẻ tấn công khai thác ba lỗ hổng Fortinet FortiSandbox, một lỗ hổng vừa được vá tuần trước

Theo công ty tình báo đe dọa Defused Cyber, các tác nhân xấu đang khai thác nhiều lỗ hổng bảo mật trong Fortinet FortiSandbox. Trong một bài đăng trên X, công ty cho biết họ đã quan sát thấy việc khai thác CVE-2026-39813, CVE-2026-39808 và CVE-2026-25089 trong 24 giờ qua.
Fortinet FortiSandbox Vulnerabilities

Theo công ty tình báo đe dọa Defused Cyber, các tác nhân xấu đang khai thác nhiều lỗ hổng bảo mật trong Fortinet FortiSandbox.

Trong một bài đăng được chia sẻ trên X, công ty cho biết họ đã quan sát thấy việc khai thác CVE-2026-39813, CVE-2026-39808, và CVE-2026-25089 trong 24 giờ qua.

CVE-2026-39813 (điểm CVSS: 9.1) đề cập đến lỗ hổng path traversal trong FortiSandbox JRPC API, có thể cho phép kẻ tấn công chưa xác thực vượt qua cơ chế xác thực thông qua các yêu cầu HTTP được thiết kế đặc biệt.

Lỗi thứ hai, CVE-2026-39808 (điểm CVSS: 9.1), là một trường hợp operating system command injection có thể cho phép kẻ tấn công chưa xác thực thực thi mã hoặc lệnh trái phép thông qua các yêu cầu HTTP được tinh chỉnh. Cả hai lỗ hổng đều đã được Fortinet vá vào tháng 4 năm 2026.

Mặt khác, CVE-2026-25089 (điểm CVSS: 9.1) đã được khắc phục vào tuần trước. Fortinet mô tả đây là một lỗi operating system command injection ảnh hưởng đến FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS WEB UI, có thể cho phép kẻ tấn công chưa xác thực thực thi các lệnh trái phép thông qua các yêu cầu HTTP được thiết kế đặc biệt.

Defused Cyber lưu ý rằng mã khai thác (exploit) cho CVE-2026-25089 không chỉ có dấu hiệu được phát triển bằng mô hình trí tuệ nhân tạo (AI), mà còn bị lỗi. Hiện chưa có bản khai thác hoạt động ổn định nào cho lỗ hổng này được công bố công khai.

Các lỗ hổng trong thiết bị Fortinet đã trở thành mục tiêu hàng đầu của những kẻ tấn công trong những năm gần đây. Vào tháng 4 năm 2026, Fortinet đã phát hành các bản vá khẩn cấp cho một lỗi bảo mật nghiêm trọng ảnh hưởng đến FortiClient EMS (CVE-2026-35616, điểm CVSS: 9.1), vốn đã bị khai thác trong thực tế.