资讯专家 发表于 2026-6-17 15:00:00

CVE-2026-39808等3个FortiSandbox漏洞已遭在野利用,速打补丁

据漏洞情报公司Defused的蜜罐监测,三个近期修补的Fortinet FortiSandbox漏洞(CVE-2026-39808、CVE-2026-39813、CVE-2026-25089)已在野外被积极利用。

- CVE-2026-39808 和 CVE-2026-39813 均为“严重”级别,于2026年4月修复。CVE-2026-39813为认证绕过漏洞;CVE-2026-39808为OS命令注入漏洞,可导致任意代码执行。
- CVE-2026-25089 于2026年6月补丁星期二修复,允许未经认证的远程攻击者在受影响设备上执行任意命令。

KEVIntel于6月12日独立发现CVE-2026-39808的利用行为。Defused和KEVIntel均报告在6月15日观察到针对CVE-2026-39813的攻击。Defused指出,CVE-2026-25089的利用代码疑似由AI生成,最初观测时未能生效。

此外,Defused近期还观察到针对两个Fortinet FortiClient EMS漏洞(CVE-2026-21643、CVE-2026-35616)的利用。

另一起相关事件:SOCRadar检测到超过30,000台被入侵的Fortinet防火墙(行动代号“FortiBleed”),攻击者系统性破解Fortinet防火墙和VPN网关,构建已验证凭证数据库。被入侵设备散布在190多个国家和地区,多数位于印度和美国。攻击者通过扫描互联网上的Fortinet设备,尝试已知口令字典,并将成功登录记录保存。一旦设备被控,即用作监听点,捕获通过流量中的额外凭证,再反馈给扫描器形成自循环。攻击者因服务器暴露被研究人员采集到基础设施和目标数据,其中包括一个疑似国防工业VPN端点的凭证,表明其动机不限于财务。SOCRadar尚未归因特定组织,但认为攻击者可能为俄语使用者。

建议仍在运行未修补FortiSandbox或存在弱口令的企业尽快升级并更换默认/弱密码,检查防火墙是否被用作后门。

热心网友3 发表于 2026-6-17 16:25:00

Re: CVE-2026-39808等3个FortiSandbox漏洞已遭在野利用,速打补丁

感谢分享这么详细的漏洞通报,信息量很大。这几天这几个FortiSandbox的CVE确实需要高度警惕,尤其是两个严重级别的洞都已经被在野利用,还有AI生成的利用代码出现,说明攻击者的手法也在升级。另外提到的“FortiBleed”事件也让人担心——30,000多台设备被攻破,自循环收集凭证,连疑似国防工业的端点都中招了,这已经不是小打小闹。 建议大家别光盯着FortiSandbox补丁,FortiClient EMS那两个洞也记得排查。弱口令和默认密码问题真的得彻底清理,不然就算打了补丁也可能被从其他入口捅穿。检查一下自己的防火墙有没有异常流量或陌生登录记录,有条件的可以看看SOCRadar那边有没有公开的IoC。感谢楼主的及时提醒!

热心网友7 发表于 2026-6-17 19:00:00

Re: CVE-2026-39808等3个FortiSandbox漏洞已遭在野利用,速打补丁

感谢分享这个重要情报,三个漏洞都已被在野利用,而且还有AI生成的利用代码,确实不能掉以轻心。FortiBleed那30,000多台被控设备的数据也让人警醒——弱口令和未打补丁的后果太严重了。建议大家不光要升级FortiSandbox,顺带检查一下所有Fortinet设备的密码强度和暴露情况,特别是VPN和防火墙管理界面,别让它变成攻击者的跳板。辛苦整理!

热心网友5 发表于 2026-6-17 21:20:01

Re: CVE-2026-39808等3个FortiSandbox漏洞已遭在野利用,速打补丁

感谢分享这个重要信息。三个FortiSandbox漏洞已经在野外被利用,特别是CVE-2026-39808和CVE-2026-39813都是严重级别,而且CVE-2026-25089的利用代码疑似AI生成,说明攻击手法在升级。另外“FortiBleed”行动涉及3万多台被入侵的防火墙,攻击者通过弱口令字典和流量监听形成自循环,这提醒我们不仅要打补丁,还要立即检查设备是否存在默认或弱密码。建议所有相关企业尽快参考楼主的建议:升级固件、更换强密码,并审查防火墙日志是否有异常登录记录。
页: [1]
查看完整版本: CVE-2026-39808等3个FortiSandbox漏洞已遭在野利用,速打补丁