[TLP:CLEAR] Fortinet upozorňuje na aktivně zneužívané zranitelnosti a kompromitaci firewallů a VPN
Fortinet upozorňuje na 3 zranitelnosti v různých produktech [1][2][3] popsané níže. Kritickou zranitelnost (CVE-2026-25089) [1] ve FortiSandbox se podle společnosti Defused zaměřující se na threat intelligence útočníci aktivně snaží zneužít [4]. Mimo to upozorňují bezpečnostní experti na kompromitaci desítek tisíc Fortinet firewallů a VPN bran v rámci kampaně FortiBleed [5][6]. Více informací o kampani včetně odkazu na databázi postižených domén a doporučeného postupu naleznete níže. Nejnovější opravené verze jednotlivých produktů: FortiOS [2] - 8.0.0, 7.6.7, 7.4.12, 7.2.11 [7] FortiPortal [3] - 7.4.11, 7.2.9 [8] FortiProxy [2] - 7.6.6, 7.4.11, 7.2.16 [9] FortiSandbox [1] - 5.2.0, 5.0.6, 4.4.9 [10] Oznámení Defused [4] uvádí také pokusy o zneužití u dvou dříve reportovaných [11] zranitelností ve FortiSandbox [12][13]. Mimo uvedené zranitelnosti chceme upozornit na nedávno odhalenou masivní kompromitaci přihlašovacích údajů k více než 75 000 Fortinet firewallům a VPN branám ve 194 zemích, ke které došlo v rámci útočné kampaně FortiBleed [5]. Podle dostupných informací útočníci kombinovali plošné útoky s hromadným lámáním přihlašovacích hashů. Detailní technické informace ke kampani naleznete na [5][6]. Zkontrolovat, zda se vaše doména nachází na seznamu zasažených, lze na [14]. Následně je důrazně doporučena okamžitá změna veškerých hesel souvisejících s Fortinet VPN a administrátorským rozhraním a aktivace MFA, jelikož úspěšné zneužití útočníkům potenciálně umožňuje plný vzdálený přístup do celé sítě organizace.
Neautentizovanému vzdálenému útočníkovi je v produktech FortiSandbox (včetně verzí Cloud a PaaS) ve webovém administračním rozhraní zasláním speciálně upravených HTTP požadavků s JSON daty na funkci spuštění VNC (start vnc) umožněno spustit libovolné příkazy na úrovni operačního systému zařízení [1].
Zranitelnost se nachází v produktech:
- FortiSandbox ve verzích (>=4.4.0 AND <4.4.9) OR (>=5.0.0 AND <5.0.6)
- FortiSandbox Cloud ve verzích >=5.0.4 AND <5.0.6
- FortiSandbox PaaS ve verzích >=5.0.4 AND <5.0.6
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-25089 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Autentizovanému lokálnímu útočníkovi s rolí správce je v rozhraní příkazové řádky produktů FortiOS a FortiProxy pomocí speciálně upravených příkazů umožněno spustit Lua skripty [2].
Zranitelnost se nachází v produktech:
- FortiOS ve verzích (>=7.2.0 AND <7.2.11) OR (>=7.4.0 AND <7.4.8) OR (>=7.6.0 AND <7.6.3)
- FortiProxy ve verzích (>=7.2.0 AND <7.2.15) OR (>=7.4.0 AND <7.4.11) OR (>=7.6.0 AND <7.6.4)
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-67862 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1244: Internal Asset Exposed to Unsafe Debug Access Level or State at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Vzdálenému autentizovanému útočníkovi s rolí běžného uživatele je v produktu FortiPortal prostřednictvím speciálně upravených HTTP požadavků na rozhraní API umožněno získat citlivá data o konfiguraci sítě [3].
Zranitelnost se nachází v produktu FortiPortal ve verzích (>=7.0 AND <=7.0.14) OR (>=7.2.0 AND <7.2.9) OR (>=7.4.0 AND <7.4.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-49938 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Odkazy
- [1] https://fortiguard.fortinet.com/psirt/FG-IR-26-141
- [2] https://fortiguard.fortinet.com/psirt/FG-IR-26-143
- [3] https://fortiguard.fortinet.com/psirt/FG-IR-26-140
- [4] https://x.com/DefusedCyber/status/2066575288503255274
- [5] https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
- [6] https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
- [7] https://docs.fortinet.com/product/fortigate/8.0
- [8] https://docs.fortinet.com/product/fortiportal/7.2
- [9] https://docs.fortinet.com/product/fortiproxy/7.6
- [10] https://docs.fortinet.com/product/fortisandbox/5.2
- [11] https://va2am.cesnet.cz/reports/870
- [12] https://www.fortiguard.com/psirt/FG-IR-26-100
- [13] https://fortiguard.fortinet.com/psirt/FG-IR-26-112
- [14] https://www.hudsonrock.com/fortinet
Za CESNET-CERTS Michaela Ručková dne 17. 6. 2026.
