Ataques estão explorando várias vulnerabilidades críticas na plataforma FortiSandbox, da Fortinet, usada para detecção de ameaças cibernéticas, segundo a empresa de inteligência de ameaças Defused.
A Fortinet divulgou atualizações de segurança em 14 de abril para três falhas de gravidade crítica, identificadas como
CVE-2026-39813
,
CVE-2026-39808
e
CVE-2026-25089
.
Essas falhas permitem que threat actors sem autenticação elevem privilégios e executem código não autorizado remotamente por meio de ataques simples de injeção de comandos, sem necessidade de interação do usuário.
Para corrigir o problema e bloquear novas tentativas de invasão, administradores precisam atualizar as instalações afetadas para as versões mais recentes.
“Estamos observando a exploração de múltiplas vulnerabilidades do Fortinet FortiSandbox nas últimas 24 horas, incluindo:
CVE-2026-39813
, sem histórico anterior de exploração registrado;
CVE-2026-39808
; e
CVE-2026-25089
, com exploit desenvolvido de forma improvisada, provavelmente defeituoso”, alertou a Defused na segunda-feira.
“Segundo a pesquisa da Defused, ainda não foi divulgado publicamente um exploit funcional para a
CVE-2026-25089
.”
Em abril, a Fortinet também apontou uma vulnerabilidade de gravidade média de travessia de caminho, identificada como
CVE-2025-61624
, como já explorada em ataques reais.
A falha pode permitir que atacantes autenticados elevem privilégios.
No entanto, a exploração bem-sucedida exige altos privilégios nos sistemas-alvo, o que indica que ela provavelmente foi combinada com outro problema de segurança.
A Fortinet não respondeu de imediato aos pedidos de comentário sobre os relatos de exploração ativa.
Falhas de segurança da Fortinet costumam ser exploradas em ataques de ransomware, muitas vezes como bugs zero-day, além de campanhas de espionagem cibernética para invadir redes de vítimas.
Mais recentemente, a Fortinet divulgou atualizações de segurança para corrigir outra vulnerabilidade crítica no FortiSandbox, a
CVE-2026-26083
, que poderia permitir a execução remota de código em sistemas sem patch.
Em fevereiro, a empresa também corrigiu uma vulnerabilidade crítica de injeção SQL, a
CVE-2026-21643
, na plataforma FortiClient Enterprise Management Server (EMS), que a Defused indicou como ativa em exploração um mês depois.
Em 13 de abril, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, CISA, determinou que órgãos federais protegessem suas instâncias do FortiClient EMS contra ataques que exploravam a falha
CVE-2026-21643
em até três dias.
No total, a CISA monitora 26 vulnerabilidades da Fortinet que foram exploradas em ataques nos últimos anos, sendo que 13 delas foram usadas por grupos de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...