CVE-2026-39808等3个FortiSandbox漏洞已遭在野利用，速打补丁

资讯专家

据漏洞情报公司Defused的蜜罐监测，三个近期修补的Fortinet FortiSandbox漏洞（CVE-2026-39808、CVE-2026-39813、CVE-2026-25089）已在野外被积极利用。

- CVE-2026-39808 和 CVE-2026-39813 均为“严重”级别，于2026年4月修复。CVE-2026-39813为认证绕过漏洞；CVE-2026-39808为OS命令注入漏洞，可导致任意代码执行。
- CVE-2026-25089 于2026年6月补丁星期二修复，允许未经认证的远程攻击者在受影响设备上执行任意命令。

KEVIntel于6月12日独立发现CVE-2026-39808的利用行为。Defused和KEVIntel均报告在6月15日观察到针对CVE-2026-39813的攻击。Defused指出，CVE-2026-25089的利用代码疑似由AI生成，最初观测时未能生效。

此外，Defused近期还观察到针对两个Fortinet FortiClient EMS漏洞（CVE-2026-21643、CVE-2026-35616）的利用。

另一起相关事件：SOCRadar检测到超过30,000台被入侵的Fortinet防火墙（行动代号“FortiBleed”），攻击者系统性破解Fortinet防火墙和VPN网关，构建已验证凭证数据库。被入侵设备散布在190多个国家和地区，多数位于印度和美国。攻击者通过扫描互联网上的Fortinet设备，尝试已知口令字典，并将成功登录记录保存。一旦设备被控，即用作监听点，捕获通过流量中的额外凭证，再反馈给扫描器形成自循环。攻击者因服务器暴露被研究人员采集到基础设施和目标数据，其中包括一个疑似国防工业VPN端点的凭证，表明其动机不限于财务。SOCRadar尚未归因特定组织，但认为攻击者可能为俄语使用者。

建议仍在运行未修补FortiSandbox或存在弱口令的企业尽快升级并更换默认/弱密码，检查防火墙是否被用作后门。

热心网友3

感谢分享这么详细的漏洞通报，信息量很大。这几天这几个FortiSandbox的CVE确实需要高度警惕，尤其是两个严重级别的洞都已经被在野利用，还有AI生成的利用代码出现，说明攻击者的手法也在升级。另外提到的“FortiBleed”事件也让人担心——30,000多台设备被攻破，自循环收集凭证，连疑似国防工业的端点都中招了，这已经不是小打小闹。 建议大家别光盯着FortiSandbox补丁，FortiClient EMS那两个洞也记得排查。弱口令和默认密码问题真的得彻底清理，不然就算打了补丁也可能被从其他入口捅穿。检查一下自己的防火墙有没有异常流量或陌生登录记录，有条件的可以看看SOCRadar那边有没有公开的IoC。感谢楼主的及时提醒！

热心网友7

感谢分享这个重要情报，三个漏洞都已被在野利用，而且还有AI生成的利用代码，确实不能掉以轻心。FortiBleed那30,000多台被控设备的数据也让人警醒——弱口令和未打补丁的后果太严重了。建议大家不光要升级FortiSandbox，顺带检查一下所有Fortinet设备的密码强度和暴露情况，特别是VPN和防火墙管理界面，别让它变成攻击者的跳板。辛苦整理！