Fortinet FortiSandbox Vulnerability Lets Attackers Execute Unauthorized Commands
2026/06/10 gbhackers — Fortinet が公表したのは、FortiSandbox 製品における深刻な脆弱性に関する情報である。この脆弱性 CVE-2026-25089 を悪用する未認証の攻撃者は、不正なコマンド実行の可能性を手にするため、マルウェア分析のためにサンドボックスを利用する企業にとって重大な懸念となる。
この OS コマンド・インジェクションの脆弱性の深刻度は CVSS v3 値で 9.1 であり、CWE-78 に分類される。この脆弱性は、FortiSandbox の Web ベース管理インターフェイスに存在する、OS コマンド内の特殊要素に対する不適切な無害化に起因する。
Fortinet FortiSandbox の脆弱性
この脆弱性は、GUI の “start VNC (Virtual Network Computing)” 機能に影響を及ぼし、細工された JSON 入力によるセカンドオーダーのコマンド・インジェクションを引き起こす可能性がある。このタイプの攻撃が検出されにくいのは、悪意の入力が保存/処理された後に、別のコンテキストが実行されるためである。
未認証の攻撃者であっても、対象インターフェイスに対して細工された HTTP リクエストを送信することで、この脆弱性を悪用できる。認証が不要であるため、特にインターネットに公開されたシステムでは、攻撃対象領域が大幅に広がる。
攻撃に成功した攻撃者は、基盤システム上で任意のコマンドを実行し、システム侵害/データ流出/ネットワーク内での横移動を引き起こす可能性がある。
影響を受けるバージョン
この脆弱性は、以下のバージョンに影響する:
- FortiSandbox 5.0.0 〜 5.0.5
- FortiSandbox 4.4.0 〜 4.4.8
- FortiSandbox Cloud 5.0.4 〜 5.0.5
- FortiSandbox PaaS 5.0.4 〜 5.0.5
なお、FortiSandbox 5.2/FortiSandbox Cloud 5.2/FortiSandbox PaaS 23.4 などは影響を受けない。
パッチと緩和策
すでに Fortinet は、パッチをリリースし、この問題に対処している。同社は、以下のバージョンへのアップグレードを強く推奨している:
- FortiSandbox 5.0.6 以降
- FortiSandbox 4.4.9 以降
- FortiSandbox Cloud 5.0.6 以降
- FortiSandbox PaaS 5.0.6 以降
現時点において、実際の攻撃での悪用は報告されていない。しかし、深刻度の高さと悪用の容易さを踏まえ、組織は速やかにアップデートを適用する必要がある。
緩和策として、管理者にとって必要なことは、FortiSandbox の管理インターフェイスへのアクセスを制限し、インターネットに公開しないようにすることだ。さらに、GUI を標的とする不審な HTTP リクエストについて、ログ監視を行うべきである。
この脆弱性は、Fortinet の Product Security Incident Response Team (PSIRT) に所属する Adham El Karn により、内部で発見/報告されたものである。2026年6月9日に、アドバイザリ ID FG-IR-26-141 として公開された。
サンドボックス環境は高リスクのファイルを扱うことが多く、初期侵入や権限昇格を狙う攻撃者にとって魅力的な標的となる。そのため、セキュリティ・チームはパッチ適用を最優先とし、サンドボックス環境の公開状況を見直す必要がある。
訳者後書:FortiSandbox の脆弱性 CVE-2026-25089 の原因は、Web ベースの管理インターフェイスにおいて、OS コマンドを処理する際の、特殊な入力要素に対する不十分な無害化 (サニタイズ) にあります。この処理の不備があるため、VNC を開始する機能に対して細工された JSON 形式のデータが送られた際に、不正なコマンドが実行されてしまう危険性が生じています。ご利用のチームは、ご注意ください。よろしければ、FortiSandbox での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.