Fortinet FortiSandbox: kritieke unauthenticated command injection (CVSS 9.1)
Fortinet’s FortiGuard PSIRT heeft twee kritieke kwetsbaarheden (beide CVSS 9.1) in FortiSandbox gepubliceerd — inclusief de Cloud- en PaaS-varianten. Beide laten een niet-geauthenticeerde aanvaller op afstand code of commando’s uitvoeren.
De twee bugs
- FG-IR-26-141 — Second-Order OS Command Injection (CWE-78): via JSON-input op de “start vnc”-functie in de FortiSandbox WEB UI kan een unauthenticated aanvaller ongeautoriseerde OS-commando’s uitvoeren met speciaal gemaakte HTTP-requests.
- FG-IR-26-136 — Incorrect global authorization / missing authorization (CWE-862): een ontbrekende autorisatiecontrole in dezelfde WEB UI laat een unauthenticated aanvaller code of commando’s uitvoeren via HTTP-requests.
Een unauthenticated command execution op een security-appliance is zo ernstig als het klinkt: de sandbox die verdachte bestanden analyseert wordt zelf het startpunt van een aanval.
Waarom dit relevant is
Fortinet-appliances (FortiGate, FortiSandbox, FortiManager) staan vaak aan de rand van het netwerk en worden actief gescand door aanvallers. Kritieke, unauthenticated Fortinet-bugs worden historisch snel misbruikt.
Advies
- Werk FortiSandbox direct bij naar een gepatchte versie (zie de PSIRT-advisory voor de exacte fixed releases).
- Beperk de bereikbaarheid van de management-/WEB-UI tot een beheernetwerk; stel die nooit direct aan het internet bloot.
- Controleer de logs op onverwachte HTTP-requests naar de VNC-/API-endpoints.