Fortinet sufre tres vulnerabilidades críticas explotadas activamente

¿Qué ha ocurrido?

La firma de inteligencia de amenazas Defused ha reportado la explotación activa de tres vulnerabilidades críticas en FortiSandbox, el producto de sandboxing de Fortinet. Las fallas, identificadas como CVE-2026-39813, CVE-2026-39808 y CVE-2026-25089, poseen una puntuación CVSS de 9.1 cada una (crítico). Según Defused, los ataques comenzaron durante el fin de semana del 14 de junio de 2026. The Register confirmó que Fortinet parcheó dos de las tres vulnerabilidades en abril de 2026 y la tercera la semana pasada, pero en ese momento afirmó que no había reportes de explotación activa. Defused señaló en una publicación de LinkedIn que la explotación comenzó horas después del parche de la tercera falla, lo que sugiere que los atacantes podrían haber estado probando los exploits antes de su publicación oficial.

Detalles técnicos

CVE-2026-39813: Es una vulnerabilidad de path traversal en la API JRPC de FortiSandbox que permite el bypass de autenticación mediante solicitudes HTTP especialmente diseñadas. Afecta a FortiSandbox versiones 4.4.0 a 4.4.8 y 5.0.0 a 5.0.5. Fue descubierta por el analista de seguridad de Fortinet, Loic Pantano. La corrección requiere actualizar a FortiSandbox 4.4.9+ o 5.0.6+.

CVE-2026-39808: Una falla de inyección de comandos del sistema operativo en FortiSandbox que permite a atacantes no autenticados ejecutar código o comandos no autorizados a través de solicitudes HTTP. Afecta a las versiones 4.4.0 a 4.4.8. Fue reportada por Samuel de Lucas Maroto, investigador de KPMG España. El parche está disponible en FortiSandbox 4.4.9+.

CVE-2026-25089: Otra vulnerabilidad de inyección de comandos del sistema operativo, esta vez en la interfaz web de FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS. Permite a atacantes no autenticados ejecutar comandos arbitrarios mediante solicitudes HTTP manipuladas. Afecta a FortiSandbox 4.4.0-4.4.8 y 5.0.0-5.0.5, FortiSandbox Cloud 5.0.4-5.0.5 y FortiSandbox PaaS 5.0.4-5.0.5. Defused señaló que el exploit público para CVE-2026-25089 parece ser "vibe coded" (posiblemente generado por IA) y podría ser defectuoso, aunque la explotación activa ya se ha observado.

Estado de los parches

Fortinet lanzó parches para CVE-2026-39813 y CVE-2026-39808 en abril de 2026, y para CVE-2026-25089 la semana pasada. Sin embargo, en el momento del parche, la compañía afirmó que no había reportes de explotación activa. Defused señala que la explotación comenzó días después del parche de la tercera vulnerabilidad. Fortinet no respondió a las consultas de The Register sobre si había observado ataques contra estas CVEs. La falta de comunicación oportuna deja a los administradores sin confirmación oficial sobre la magnitud de la amenaza.

Importancia y contexto

Fortinet es uno de los principales proveedores de seguridad de red, y sus productos son objetivo frecuente de ciberdelincuentes. Recientemente, Check Point advirtió que ransomware estaba explotando una vulnerabilidad crítica de bypass de autenticación en Fortinet VPN. La combinación de múltiples fallas críticas en un producto de sandboxing, que por definición debería aislar amenazas, es particularmente grave. Los atacantes podrían obtener acceso completo a los sistemas que ejecutan FortiSandbox, comprometiendo la seguridad de toda la infraestructura. Históricamente, Fortinet ha sido blanco de ataques avanzados: en 2024, se explotaron vulnerabilidades en FortiOS SSL-VPN, y en 2025, un fallo similar en FortiGate permitió acceso no autorizado. Este patrón subraya la necesidad de una gestión de parches rigurosa y monitoreo continuo.

Consecuencias

Las organizaciones que no apliquen los parches corren el riesgo de sufrir intrusiones, robo de datos o despliegue de ransomware. Dado que la explotación ya está activa, se recomienda priorizar la actualización a las versiones corregidas: FortiSandbox 4.4.9+ o 5.0.6+, y para las versiones cloud, las respectivas actualizaciones. El impacto potencial es alto: FortiSandbox se utiliza en entornos empresariales y gubernamentales para analizar amenazas, por lo que un compromiso podría exponer información sensible de múltiples clientes. Además, la naturaleza de las vulnerabilidades (inyección de comandos y bypass de autenticación) permite a los atacantes ejecutar código arbitrario sin necesidad de credenciales, lo que facilita el movimiento lateral dentro de la red.

Recomendaciones

• Actualizar FortiSandbox a la versión más reciente según la rama de producto.
• Revisar logs en busca de actividad sospechosa relacionada con las vulnerabilidades, especialmente conexiones HTTP inusuales o ejecución de comandos.
• Implementar segmentación de red y monitoreo adicional para detectar posibles compromisos, incluyendo sistemas de detección de intrusiones (IDS) y análisis de tráfico.
• Considerar la desactivación temporal de la interfaz web si no es necesaria, hasta aplicar los parches.

“Estamos observando explotación de múltiples vulnerabilidades de Fortinet FortiSandbox durante las últimas 24 horas”, declaró Defused en LinkedIn. “Según nuestra investigación, un exploit funcional para CVE-2026-25089 aún no se ha divulgado públicamente”, agregó la firma, señalando que el exploit existente parece ser de baja calidad.

La situación recuerda a incidentes anteriores como la explotación de CVE-2023-27997 en FortiGate, que también fue corregida pero explotada posteriormente. La lección es clara: los parches deben aplicarse inmediatamente, especialmente cuando se trata de productos críticos para la seguridad.